AuraAudit (AuraInspector): Salesforce Aura muhitidagi noto‘g‘ri sozlamalarni aniqlovchi ochiq manbali xavfsizlik vositasi

Kiberxavfsizlik sohasida yetakchi kompaniyalardan biri bo‘lgan Mandiant Salesforce platformasida xavfsizlikni kuchaytirishga qaratilgan yangi ochiq manbali vositani taqdim etdi. AuraInspector (ko‘pincha AuraAudit deb ham ataladi) — bu buyruqlar satrida ishlovchi (CLI) audit vositasi bo‘lib, Salesforce Aura framework’idagi kirish huquqlarining noto‘g‘ri sozlanishini aniqlash va tahlil qilish uchun mo‘ljallangan.

Mazkur vosita, ayniqsa, Salesforce Experience Cloud muhitlarida tez-tez uchraydigan va jiddiy oqibatlarga olib kelishi mumkin bo‘lgan xavfsizlik bo‘shliqlarini aniqlashga yordam beradi.

Muammo qayerda?

Salesforce’ning Lightning Experience interfeysida asosiy rol o‘ynovchi Aura endpoint ko‘plab Experience Cloud ilovalari uchun eng ko‘p nishonga olinadigan hujum yuzalaridan biri hisoblanadi. Noto‘g‘ri sozlangan kirish huquqlari tufayli quyidagi maxfiy ma’lumotlar tashqi foydalanuvchilar uchun ochiq qolib ketishi mumkin:

  • kredit karta ma’lumotlari,
  • shaxsni tasdiqlovchi hujjatlar,
  • tibbiy va sog‘liq bilan bog‘liq ma’lumotlar,
  • mijozlar va foydalanuvchilarga oid ichki yozuvlar.

Muammo shundaki, Salesforce’da obyektlarga ruxsat berish va ulashish qoidalari bir necha darajada boshqariladi. Bu esa administratorlar uchun tashqi tomondan qaralganda qaysi obyekt yoki yozuv ochiq qolganini aniqlashni murakkablashtiradi.

AuraInspector nimasi bilan foydali?

AuraInspector ushbu murakkablikni avtomatlashtirilgan tarzda yechadi. Vosita Mandiant’ning Offensive Security Services jamoasi tomonidan ilgari aniqlangan hujum usullariga tayangan holda ishlaydi va Aura muhitidagi ochiq resurslarni aniqlab, administratorlarga aniq tavsiyalar beradi.

Vositaning asosiy imkoniyatlari quyidagilardan iborat:

  • Aura endpoint’ni avtomatik aniqlash
  • Qaysi obyektlar va yozuvlar ochiq ekanini skanerlash
  • Record List (yozuvlar ro‘yxati) komponentlarining oshkor bo‘lgan URL’larini topish
  • Self-registration (o‘zini ro‘yxatdan o‘tkazish) funksiyasi yoqilgan-yo‘qligini tekshirish
  • Bosh sahifa va administrator URL’larini avtomatik aniqlash
  • Bir so‘rovda bir nechta amallarni bajarish (action bulking)
  • Faqat o‘qish rejimi — tizimga hech qanday o‘zgartirish kiritilmaydi
  • Oddiy va qulay buyruqlar satri interfeysi
  • To‘liq ochiq manbali va GitHub’da mavjud

Ochiq yozuvlar va noto‘g‘ri ruxsatlar xavfi

AuraInspector Aura’ning getItems va getConfigData kabi metodlari orqali ochiq obyektlarni aniqlaydi. Agar ruxsatlar noto‘g‘ri sozlangan bo‘lsa, ushbu metodlar orqali maxfiy yozuvlar tashqi foydalanuvchilarga ko‘rinib qolishi mumkin.

Shuningdek, vosita Record List komponentlarini ham tekshiradi. Bu komponentlar ayrim hollarda ruxsatlar noto‘g‘ri belgilangani sababli obyekt yozuvlariga to‘g‘ridan-to‘g‘ri kirish imkonini berib qo‘yadi.

O‘zini ro‘yxatdan o‘tkazish (Self-registration) — yashirin xavf

Mandiant tadqiqotlari shuni ko‘rsatdiki, ayrim tashkilotlar login sahifasidan self-registration havolasini olib tashlagan bo‘lsa-da, funksiyaning o‘zi tizimda faol holatda qolgan. Natijada, AuraInspector bunday yashirin ro‘yxatdan o‘tish havolalarini aniqlab, ruxsatsiz akkauntlar yaratilishining oldini olishga yordam beradi.

Muhim yangilik: GraphQL orqali cheklovni chetlab o‘tish

AuraInspector’ning eng e’tiborga molik jihatlaridan biri — Salesforce GraphQL Aura Controller’idan foydalanish orqali 2000 ta yozuv bilan cheklovni chetlab o‘tish imkoniyatidir. Avval bu cheklov katta hajmdagi ma’lumotlarni to‘liq tahlil qilishni qiyinlashtirar edi.

Yangi usul yordamida vosita:

  • GraphQL so‘rovlarini avtomatik yaratadi,
  • ruxsatlar buzilgan holatda to‘liq ma’lumotlar to‘plamini aniqlaydi,
  • qo‘lda filtrlash va saralash zaruratini bartaraf etadi.

Bu esa noto‘g‘ri sozlamalar oqibatlarini ancha chuqur baholash imkonini beradi.

Tavsiyalar va himoya choralar

Mandiant Salesforce administratorlariga quyidagilarni tavsiya qiladi:

  • Guest user ruxsatlarini minimal darajada cheklash (least privilege)
  • Obyektlarni ulashish qoidalarini va organization-wide default sozlamalarini qayta ko‘rib chiqish
  • Keraksiz self-registration funksiyalarini o‘chirib qo‘yish
  • Salesforce’ning Security Health Check vositasidan foydalanish
  • Rasmiy Salesforce Security Guide asosida muhitni mustahkamlash

AuraInspector (AuraAudit) Salesforce Aura muhitida mavjud bo‘lishi mumkin bo‘lgan yashirin xavflarni aniqlashda muhim ahamiyatga ega ochiq manbali vositadir. U tizimga zarar yetkazmasdan, faqat o‘qish rejimida ishlashi bilan xavfsiz audit o‘tkazish imkonini beradi.

Mazkur vosita xavfsizlik jamoalariga hujumchilar foydalanib ketishidan oldin noto‘g‘ri sozlamalarni aniqlab, ularni bartaraf etish imkonini yaratadi. AuraInspector hozirning o‘zida GitHub’da bepul taqdim etilgan bo‘lib, Salesforce xavfsizligini mustahkamlash yo‘lida muhim qadam hisoblanadi.