AuraInspector: Phát hiện lỗ hổng bảo mật Salesforce nghiêm trọng

Mandiant đã phát hành **AuraInspector**, một công cụ dòng lệnh mã nguồn mở được thiết kế để hỗ trợ các chuyên gia bảo mật trong việc xác định và kiểm tra các **lỗ hổng bảo mật** do cấu hình kiểm soát truy cập sai trong framework Salesforce Aura. Công cụ này ra đời nhằm khắc phục một khoảng trống bảo mật nghiêm trọng trong các triển khai Salesforce Experience Cloud, nơi các cấu hình sai thường xuyên dẫn đến việc lộ dữ liệu nhạy cảm, bao gồm thông tin thẻ tín dụng, tài liệu nhận dạng và dữ liệu sức khỏe.

Điểm cuối Aura là một thành phần cốt lõi của giao diện Lightning Experience của Salesforce, đồng thời cũng là một trong những bề mặt tấn công phổ biến nhất trong các ứng dụng Experience Cloud. Việc quản lý các quy tắc chia sẻ đối tượng của Salesforce trải dài trên nhiều cấp độ cấu hình, gây khó khăn cho quản trị viên trong việc phát hiện các lỗi cấu hình kiểm soát truy cập tiềm ẩn từ góc độ bên ngoài.

Tổng quan về AuraInspector và Các **lỗ hổng bảo mật** trong Salesforce Aura

AuraInspector tự động hóa quy trình phát hiện các điểm yếu này và cung cấp thông tin chi tiết có thể hành động để khắc phục. Công cụ này kế thừa nhiều kỹ thuật tấn công đã được đội ngũ Dịch vụ Bảo mật Tấn công của Mandiant ghi nhận trước đây.

Kỹ thuật Khai thác và Phương pháp Phát hiện

AuraInspector nhận diện các đối tượng có thể truy cập thông qua các phương thức Aura như getItems và getConfigData. Các phương thức này, nếu không được cấu hình kiểm soát truy cập đúng cách, có thể làm lộ các bản ghi nhạy cảm. Đây là một vector tấn công phổ biến mà các kẻ tấn công thường nhắm tới để trích xuất thông tin.

Ngoài ra, AuraInspector còn kiểm tra các Record Lists bị lộ. Đây là các thành phần của Salesforce cung cấp quyền truy cập trực tiếp vào các bản ghi đối tượng khi các quyền hạn bị cấu hình sai. Việc lộ Record Lists có thể dẫn đến **rò rỉ dữ liệu** đáng kể, cho phép kẻ tấn công truy cập vào toàn bộ danh sách các đối tượng mà không cần xác thực hợp lệ.

Phát hiện Điểm cuối Tự đăng ký (Self-Registration Endpoints)

Một tính năng quan trọng của AuraInspector là khả năng phát hiện các điểm cuối tự đăng ký đang hoạt động. Mandiant đã quan sát thấy nhiều trường hợp các liên kết tự đăng ký đã bị xóa khỏi các trang đăng nhập, nhưng chức năng này vẫn được kích hoạt. Tình trạng này cho phép tạo tài khoản trái phép, mở ra một cánh cửa cho kẻ tấn công xâm nhập hệ thống và thực hiện các hành vi độc hại.

Vượt qua Giới hạn Truy xuất Dữ liệu với GraphQL

AuraInspector giới thiệu một kỹ thuật chưa từng được ghi nhận trước đây, sử dụng bộ điều khiển GraphQL Aura của Salesforce để vượt qua giới hạn truy xuất 2.000 bản ghi tiêu chuẩn. Khả năng này mang lại lợi thế đáng kể trong việc đánh giá toàn diện tác động của lỗi cấu hình mà không cần đến các phương pháp thủ công phức tạp.

Công cụ này tự động xây dựng các truy vấn GraphQL để trích xuất toàn bộ tập dữ liệu khi kiểm soát truy cập thất bại. Điều này cho phép các nhà nghiên cứu bảo mật và quản trị viên thu thập một lượng lớn thông tin để đánh giá mức độ nghiêm trọng của các **lỗ hổng bảo mật** và lập kế hoạch khắc phục hiệu quả.

Chức năng Phát hiện Thông tin Ngữ cảnh Chính

AuraInspector tự động khám phá các thông tin ngữ cảnh quan trọng, bao gồm các điểm cuối Aura, URL của trang chủ và danh sách bản ghi, trạng thái tự đăng ký và các bảng điều khiển quản trị có thể truy cập được. Công cụ này chỉ thực hiện các thao tác đọc, đảm bảo rằng các phiên bản được kiểm tra không bị sửa đổi. Điều này làm cho AuraInspector trở thành một công cụ an toàn và đáng tin cậy cho việc đánh giá bảo mật.

Khuyến nghị và Giải pháp Giảm thiểu Rủi ro **rò rỉ dữ liệu**

Mandiant khuyến nghị các quản trị viên nên kiểm tra quyền của người dùng khách (guest user) dựa trên nguyên tắc đặc quyền tối thiểu (least privilege). Điều này đảm bảo rằng người dùng chỉ có quyền truy cập vào những tài nguyên cần thiết cho công việc của họ, giảm thiểu nguy cơ lây lan nếu một tài khoản bị xâm nhập.

Để tăng cường **an toàn thông tin** cho các triển khai Salesforce, cần thực hiện các bước sau:

• Xem xét quy tắc chia sẻ và cài đặt mặc định toàn tổ chức (organization-wide defaults): Đảm bảo rằng các quy tắc này được cấu hình chặt chẽ, chỉ cho phép truy cập dữ liệu theo yêu cầu kinh doanh.
• Tắt tính năng tự đăng ký không cần thiết: Ngay cả khi liên kết đã bị xóa, chức năng này vẫn có thể hoạt động ngầm. Việc tắt hoàn toàn sẽ loại bỏ vector tấn công này.
• Triển khai các biện pháp thực hành bảo mật tốt nhất của Salesforce: Tham khảo tài liệu hướng dẫn bảo mật của Salesforce để áp dụng các cấu hình an toàn nhất.

Công cụ Security Health Check và Salesforce Security Guide cung cấp thêm hướng dẫn toàn diện để tăng cường bảo mật hệ thống. AuraInspector hiện đã có sẵn trên GitHub, giúp các đội ngũ bảo mật chủ động xác định và khắc phục các điểm yếu liên quan đến Aura trước khi kẻ tấn công có thể khai thác chúng.