Our open-source tool AuraInspector can help defenders identify Salesforce Aura access control misconfigurations.

MandiantはAuraInspectorを公開しました。これはオープンソースのコマンドラインツールで、Salesforce Auraフレームワーク内のアクセス制御の設定不備を特定・監査し、クレジットカード番号、身分証明書、健康情報などの機微データが露出する可能性をセキュリティチームが把握できるようにすることを目的としています。 本ツールはSalesforce Experience Cloudのセキュリティにおける重大なギャップに対応します。複雑な共有ルールや多層的な権限設定が、管理者にとって見落とし（ブラインドスポット）を生みやすいからです。 AuraInspectorは外部視点からこれらの露出の検出を自動化し、攻撃者に悪用される前に是正できるよう、修復に直結する洞察を提供します。 AuraはSalesforceのLightning Experienceを支える基盤技術で、モダンなシングルページアプリケーション（SPA）の機能を実現します。 このアーキテクチャはユーザー体験を向上させる一方で、セキュリティ上の複雑さも持ち込みます。フロントエンドコンポーネントがバックエンドデータを取得するために利用するAuraエンドポイントは、Salesforce Experience Cloudアプリケーションにおいて最も狙われやすいインターフェースの一つとなっています。 Mandiantの調査 によると、設定不備によりゲストユーザーへ機微なオブジェクトへの不正アクセスが付与されるケースが頻繁に見られます。 管理されたテストでは、同社はAccountオブジェクトの権限が不適切に設定されていると、未認証ユーザーがgetItemsなどの正規のAuraメソッドを介して数千件のレコードを取得できる可能性があることを示しました。 技術的機能 AuraInspectorは、これまで手作業だった複数の設定不備特定手法を自動化します。 本ツールはgetConfigDataメソッドをテストしてアクセス可能なオブジェクトを列挙し、その後getItemsメソッドでレコードを取得します。同時に、1リクエストあたり最大100アクションを束ねてネットワークトラフィックを最小化する「アクション・バルキング」を実装し、性能を最適化します。 重要な革新点は、sortByパラメータを活用してSalesforceの2,000件取得制限を回避することです。 異なるフィールドで昇順または降順に並べ替えることで、セキュリティ研究者は設定不備の影響の全体像を示し、標準的な手法で許容される以上のレコードを大幅に取得できます。 また本ツールは、オブジェクトに関連付けられたレコードリストを特定し、管理パネルにつながる可能性のあるアクセス可能なHome URLを検出し、自己登録（セルフレジストレーション）の状態も確認します。SalesforceはデフォルトのGuestアカウントのセキュリティを強化しており、攻撃者にとって認証済みアクセスの価値が高まっているため、これは重要です。 Accountオブジェクトのデフォルトのレコードリスト表示. おそらく最も重要なのは、AuraInspectorがSalesforceのGraphQL Auraコントローラを用いた、これまで文書化されていなかった手法を組み込み、ページネーションの制約を克服している点です。 標準のAura APIではクエリあたり2,000件に制限されますが、GraphQLコントローラは、カーソルベースのナビゲーションによる改善されたページネーションを用いて、オブジェクトに紐づく全レコードを一貫して取得できるようにします。 デフォルトで未認証ユーザーからもアクセス可能なGraphQLアプローチは、標準化されたレコード取得、フィールド探索のための組み込みイントロスペクション、書き込み権限をテストするためのミューテーションのサポートを提供します。 Mandiantは、この方法で未認証ユーザーなら誰でもアクセスできるSparkインスタンスの管理ダッシュボードを特定しました。 Sparkインスタンスの管理ダッシュボード. MandiantはSalesforceに確認し、権限が正しく設定されている場合には想定された機能である一方、設定不備の環境では潜在的なデータ露出を劇的に増幅させることを確認しました。 特定された問題はすべて、製品の脆弱性ではなく設定ミスに起因します。Salesforce管理者はGuest User権限を定期的に監査し、最小権限の原則を適用して、未認証ユーザーが公開機能に不可欠なオブジェクトとフィールドにのみアクセスできるようにすべきです。 カーソルは、最後に取得したレコードを示すBase64エンコード文字列であるため、ゼロから容易に作成できます。2,000件のバッチで。 カーソルを使用して次のレコードを取得する. 共有ルールと組織全体のデフォルト設定を見直すことで、認証済みユーザーが明示的に許可されたレコードにのみアクセスできるようになります。 Mandiantはまた、検出リソースとして、JavaScriptファイル内に隠れたSalesforce参照を特定するためのBurp Suite BCheckや、AuraエンドポイントへのPOSTリクエストをフラグ付けするGoogle SecOps UDMクエリを提供しており、組織が潜在的な偵察活動を監視できるようにしています。 不要な自己登録を無効化することで不正なアカウント作成を防げます。また、Security Health Checkツールの利用を含むSalesforceのセキュリティガイドの推奨事項に従うことで、堅牢な設定を維持できます。 AuraInspectorはGitHubですぐに利用可能で、Mandiantは中核となる検出機能を公開する一方、悪用を防ぐためにデータ抽出機能は公開していません。 本ツールはAuraエンドポイントを自動的に検出し、HomeおよびレコードリストのURLを取得し、自己登録の状態を判定します。これらはすべて読み取り専用の操作で行われ、対象インスタンスに変更を加えません。 包括的なSalesforceセキュリティ評価を必要とする組織向けに、Mandiant Consultingは、設定不備の特定、セキュリティ態勢の検証、クラウド環境で機微データを保護するためのベストプラクティスへの準拠を確実にする専門サービスを提供しています。 翻訳元:

Mandiantは、Salesforce Auraフレームワークにおけるアクセス制御の設定不備を組織が特定し、是正するのに役立つオープンソースのコマンドラインツール「AuraInspector」を公開しました。 このリリースは、企業がSalesforce Experience Cloudの採用を進める一方で、設定がもたらすセキュリティ上の影響を十分に理解しないまま運用しているケースが増えていることを背景としています。 このツールは重大なセキュリティギャップに対処します。MandiantのOffensive Security Servicesチームは、認可されていないユーザー（未認証の攻撃者を含む）が、クレジットカード番号、本人確認書類、健康情報など、Salesforceインスタンスに保存された機微データへアクセスできてしまう設定不備を繰り返し発見してきました。こうしたギャップは、悪用が発生するまで見過ごされることが少なくありません。 AuraInspectorは、セキュリティ研究者によって文書化された複数の高度な攻撃ベクトルを自動化します。 Salesforceの最新のLightning Experienceインターフェースを支えるAuraフレームワークは、権限設定が誤っている場合に悪用され得る特定のエンドポイントを公開しています。 特に注目すべき手法の一つは、sortByパラメータを使用して、Salesforce標準の2,000件の制限を回避することです。 並び順を操作することで、攻撃者は本来アクセスできないはずの追加レコードにアクセスできてしまいます。 Mandiantは、発見しました。GraphQL Auraコントローラを用いてこの制限を完全に回避する、これまで文書化されていなかった手法であり、APIアクセスを必要とせずに、設定不備のあるオブジェクトから無制限にレコードを取得できるようになります。 さらにMandiantは、UI上ではセルフ登録が無効化されているにもかかわらず、バックエンドでは機能したままになっている事例も特定しました。これは、攻撃者がアカウントを作成してアクセス権を拡大できてしまう可能性がある、見落とされやすい設定不備です。 このツールは、対象インスタンスを変更することなく外部セキュリティ監査を実行し、これらの露出ベクトルの検出を自動化します。 主な機能には、Auraエンドポイントの自動検出、アクセス可能なホームページおよびレコードリストの列挙、有効なセルフ登録の検出、GraphQLでアクセス可能なオブジェクトの特定が含まれます。 また、偵察を効率化するため、1回の操作あたり最大100リクエストまでをまとめて処理するアクションの一括化（バッチ処理）をサポートしています。 注目すべき点として、Mandiantはレコード抽出機能を備えた社内版を開発したものの、責任ある情報開示の原則に沿って、この機能を一般公開しない判断をしました。 Salesforce管理者は、直ちにいくつかの対策を実施すべきです。具体的には、ゲストユーザープロファイルに最小権限アクセスを適用すること、共有ルールと組織全体のデフォルト設定を定期的に監査すること、明確に必要な場合を除いてセルフ登録を無効化すること、Salesforceのネイティブツールを用いてセキュリティ健全性チェックを実施することが挙げられます。 また同組織は、詳細な設定ガイダンスとしてSalesforceの包括的なSecurity Implementation Guideを活用することも推奨しています。 AuraInspectorは現在GitHubでダウンロード可能であり、セキュリティチームに、Salesforce導入環境を監査し、攻撃者による一般的な設定不備の悪用を防ぐために必要な可視性を提供します。 翻訳元:

As businesses increasingly rely on Salesforce Experience Cloud, securing sensitive data has become a top priority. Recognizing the complexity of Salesforce’s Aura framework, Mandiant has introduced AuraInspector, a powerful open-source command-line tool designed to help administrators and security teams identify access control misconfigurations that could expose critical information. By automating manual checks and focusing on potential weaknesses, AuraInspector offers a proactive way to tighten security before attackers can exploit vulnerabilities.

Mandiantは、Salesforce Auraフレームワーク上に構築されたSalesforce Experience Cloud環境におけるアクセス制御の設定ミスを、セキュリティチームや管理者が特定するのに役立つ新しいオープンソースのコマンドラインツール「AuraInspector」を公開しました。 このツールは、外部の視点から、権限のないユーザーが財務情報、本人確認情報、医療情報などの機密レコードにアクセスできてしまう可能性のある、露出したデータ経路を見つけることに重点を置いています。 Salesforce Auraは、SalesforceのLightning Experience UIおよびExperience Cloudサイトを支えるフレームワークです。フロントエンドがバックエンドのコントローラを呼び出してオブジェクトのレコードを取得するために使用するAuraエンドポイントに依存しています。 Salesforceの共有ルールやオブジェクト権限は複数のレイヤーで設定できるため、管理者は微妙な設定ミスを見つけるのに苦労することがよくあります。 その結果、Auraエンドポイントは、オブジェクトの列挙、レコードの一覧取得、見落とされた機能の悪用を試みる攻撃者にとって頻繁に狙われる対象となります。Mandiantの調査は、アクセス制御が弱い場合に悪用され得る複数の手法を明らかにしています。 これには、Auraメソッドを用いて大量のレコードセットを取得すること、並べ替えとページネーションを活用して通常の2,000件制限を回避すること、単一リクエストで複数オブジェクトを照会する一括「boxcar」アクション、そして管理用インターフェースや機密データのビューを露出させる可能性のあるRecord Listビューや「home」URLの発見が含まれます。 チームはまた、Auraコントローラが自己登録のステータスやURLを露出させ得ることも文書化しており、自己登録が誤設定されている場合、攻撃者が認証済みアカウントを取得できる可能性があります。 重要な発見の一つは、GraphQLのAuraコントローラを使用して、誤設定されたオブジェクトに紐づくすべてのレコードを取得できる点で、従来のAuraメソッドよりも優れたページネーションとイントロスペクションを備えています。 Salesforceは、権限が正しく設定されている場合は脆弱性ではないと確認しているものの、既存の設定ミスがある場合の影響を大幅に増大させます。 AuraInspectorは、これらの手作業の手法を自動化します。Auraエンドポイントを検出し、homeおよびレコードリストのURLを列挙し、自己登録の状態を確認し、オブジェクトの露出を監査しつつ、読み取り専用の操作に限定します。 管理者が自社のExperience Cloudインスタンスに対してこのツールを実行することで、過度に許可されたゲストアクセスや認証済みアクセスをより容易に発見できます。 Googleがテスト中に観測したところによれば、その結果は、共有ルール、ゲストユーザー権限、または自己登録設定が過度に広範になっている箇所をチームが特定するのに役立ち、悪用される前にアクセス制御を厳格化することで、より迅速な是正を可能にします。 翻訳元:

Google and its Mandiant threat intelligence unit have released AuraInspector, an open-source tool aimed at auditing data access paths in Salesforce Experience Cloud applications. The tool focuses on the Aura framework, which underpins many Salesforce user interfaces and plays a central role in how data is retrieved and displayed. Focus on Aura endpoints in Experience Cloud AuraInspector is designed to examine how Salesforce Aura endpoints expose data through standard application functions. Experience Cloud sites rely …

AuraInspector automates the most common abuses and generates fixes for customers Mandiant has released an open source tool to help Salesforce admins detect misconfigurations that could expose sensitive data.…

    AuraInspector: Auditing Salesforce Aura for Data Exposure 0 views Eyal Estrin unread,    to https://cloud.google.com/blog/topics/threat-intelligence/auditing-salesforce-aura-data-exposure https://www.theregister.com/2026/01/13/mandiant_salesforce_tool/ Eyal Estrin CISSP, CCSP, CISM, CISA, CDPSE, CCSK Blog: https://security-24-7.com | Books: https://amzn.to/42Xai9A | https://amzn.to/3Sggbtv Twitter: @eyalestrin | Bluesky: @eyalestrin.bsky.social Reply all Reply to author Forward

Curate Feeds | Make Collections | Customize Email Briefs

: AuraInspector automates the most common abuses and generates fixes for customers

Google and Mandiant introduce AuraInspector, an open source tool for auditing Salesforce Aura endpoints and identifying data exposure risks.

Mandiantは、機密データを露出させかねない設定ミスをSalesforce管理者が検出できるよう支援するオープンソースツールを公開した。 月曜日に公開されたAuraInspectorは、Experience Cloudサイト向けUIフレームワークであるSalesforce Auraにおけるアクセス制御の問題を対象とする。Auraコンポーネント自体が本質的に安全でないわけではないが、その複雑さゆえに危険な設定ミスが生じやすい。 例は？ 未認証ユーザーがSalesforceのAccountオブジェクト内のすべてのレコードにアクセスできてしまうと、攻撃者はgetItemsメソッドを悪用してデータを盗み出せる。 「これは実際の現場での対応においてよく遭遇する一般的な設定ミスだ」とMandiantは発表で述べた。 通常はリクエストあたり2,000レコードに制限されるが、攻撃者は並べ替え順を変更することでこれを回避できる。これは一貫性のない手法であり、攻撃者に重複レコードが返る場合もある。 この制限を回避する別の方法として、GraphQL APIの機能を悪用する手口がある。これはデフォルトで全ゲストアカウントに提供されている。 Salesforceは、オブジェクトアクセスが適切に設定されていればこのAPIは脆弱性ではないとしているが、設定ミスにより広範な機密情報が露出する可能性がある。 Mandiantによれば、AuraInspectorはHome URL経由で攻撃者がレコードリストや管理パネルにアクセスするのを防ぐのにも役立ち、他のユースケースにも対応するという。 このツールは現在無料で利用可能で、潜在的な悪用手法と推奨される修復戦略を自動化し、防御側が深刻な設定ミスを特定できるよう支援する。 Mandiantは、AuraInspectorのすべての操作は読み取り専用であり、ツールが単独でSalesforceインスタンスに変更を加えることはないとしている。 多くの顧客が新規サイトではLightning Web Componentsへ移行しているにもかかわらず、Auraはレガシー機能のために依然として広く使われており、セキュリティ企業はAuraの設定ミスの危険性について引き続き警告を発している。 例えばVaronisは7月、Salesforce Experience Cloudサイトの所在を特定するのは容易であり、同社の研究者がAuraメソッドを悪用して「露出した機密レコードの山」を取得できたと警告した。 また、情報セキュリティ系ブロガーのBrian Krebsも、銀行や医療提供者が同様の手段で機密データを漏えいさせていることを発見したのを受け、2023年にSalesforce Communityサイトに広く存在する問題へ注意を喚起した。® 翻訳元:

AllSafeUs Research Labs is closely monitoring the evolving landscape of cloud security, and a recent announcement from Mandiant has brought a critical new tool to the forefront: AuraInspector. This open-source utility is designed to empower defenders in identifying and auditing access control misconfigurations within the Salesforce Aura framework, a prevalent vulnerability that can lead to significant data exposure. Salesforce Experience Cloud serves as a foundational platform for countless businesses, handling vast amounts of sensitive information.

Our open-source tool AuraInspector can help defenders identify Salesforce Aura access control misconfigurations.

AuraInspector: Auditing Salesforce Aura for Data Exposure

執筆者：Amine Ismail、Anirudha Kanodia はじめに Mandiantは、Salesforce Auraフレームワーク内のアクセス制御の誤設定を防御側が特定・監査できるよう支援するために設計された、新しいオープンソースツール「AuraInspector」を公開します。 Salesforce Experience Cloudは多くの企業にとって基盤となるプラットフォームですが、Mandiant Offensive Security Services（OSS）は、クレジットカード番号、本人確認書類、健康情報などの機微データに、権限のないユーザーがアクセスできてしまう誤設定を頻繁に特定しています。こうしたアクセス制御のギャップは、手遅れになるまで見過ごされがちです。 本稿では、これらの一般的な誤設定の仕組みを詳述するとともに、標準のレコード取得上限を回避する、GraphQLを用いた未文書化の手法を紹介します。管理者が環境を安全に保てるよう、これらの露出の検出を自動化し、是正に向けた実行可能な示唆を提供するコマンドラインツールAuraInspectorを公開します。 Auraとは？ Auraは、Salesforceアプリケーションで再利用可能かつモジュール化されたコンポーネントを作成するために用いられるフレームワークです。Lightning Experienceとして知られるSalesforceのモダンUIを支える基盤技術でもあります。Auraは、よりモダンなシングルページアプリケーション（SPA）モデルを導入し、応答性を高め、より良いユーザー体験を提供しました。 あらゆるオブジェクトリレーショナルデータベースおよび開発者フレームワークと同様に、Auraにおける主要なセキュリティ課題は、ユーザーが権限のあるデータにのみアクセスできることを保証する点にあります。より具体的には、Auraエンドポイントはフロントエンドがバックエンドシステムからさまざまな情報（データベースに格納されたオブジェクトのレコードを含む）を取得するために使用されます。通常、このエンドポイントはExperience Cloudアプリケーション内を操作し、ネットワークリクエストを確認することで特定できます。 現在、Salesforce管理者にとっての大きな課題は、Salesforceオブジェクトの共有ルールが複数のレベルで設定可能であり、潜在的な誤設定の特定が複雑になることです。その結果、AuraエンドポイントはSalesforce Experience Cloudアプリケーションにおいて最も頻繁に狙われるエンドポイントの1つとなっています。 Auraエンドポイントの最も興味深い点は、認証コンテキストの権限に応じて、aura-enabledメソッドを呼び出せることです。このエンドポイントのmessageパラメータを使用して、これらのメソッドを呼び出せます。特に注目すべきは、バックエンドのSalesforceデータベースで使用されるオブジェクトの一覧を返すgetConfigDataメソッドです。以下は、この特定メソッドを呼び出すための構文です。 {"actions":[{"id":"123;a","descriptor":"serviceComponent://ui.force.components.controllers.hostConfig.HostConfigController/ACTION$getConfigData","callingDescriptor":"UNKNOWN","params":{}}]} 応答例を図1に示します。 図1：getConfigData応答の抜粋 Auraを用いたデータ取得方法 Auraによるデータ取得 Salesforce Experience Cloudアプリケーション内の特定のコンポーネントは、ユーザーインターフェースを埋めるためにレコードを取得する目的で、暗黙的に特定のAuraメソッドを呼び出します。これはserviceComponent://ui.force.components.controllers.lists.selectableListDataProvider.SelectableListDataProviderController/ACTION$getItemsAuraメソッドが該当します。これらのAuraメソッド自体は正当であり、それ単体ではセキュリティリスクにはなりません。リスクは、基盤となる権限設定が誤っている場合に生じます。 制御されたテストインスタンスにおいて、Mandiantはアクセス制御を意図的に誤設定し、ゲスト（未認証）ユーザーにAccountオブジェクトの全レコードへのアクセスを付与しました。これは実際のエンゲージメントでもよく遭遇する誤設定です。通常、アプリケーションはAuraまたはLightningフレームワークを用いてオブジェクトレコードを取得します。その方法の1つがgetItemsです。このメソッドを特定のパラメータで使用すると、ユーザーがアクセスできる特定オブジェクトのレコードを取得できます。このメソッドを用いたリクエストとレスポンスの例を図2に示します。 図2：Accountオブジェクトのレコード取得 しかし、この一般的なアプローチには制約があります。Salesforceでは、ユーザーが一度に取得できるレコード数は最大2,000件に制限されています。オブジェクトによっては数千件のレコードを持つ場合があり、この方法で取得できるレコード数が制限されます。誤設定の影響を完全に示すには、この上限を超える必要があることが少なくありません。 テストにより、このメソッドにsortByパラメータが存在することが判明しました。このパラメータは、並び替え順を変更することで、2,000件上限のために当初アクセスできなかった追加レコードを取得できる点で有用です。さらに、フィールド名の前に-文字を付与することで、任意のパラメータに対して昇順・降順のソート順を指定できます。以下はsortByパラメータを活用したAuraメッセージの例です。 {"actions":[{"id":"123;a","descriptor":"serviceComponent://ui.force.components.controllers.lists.selectableListDataProvider.SelectableListDataProviderController/ACTION$getItems","callingDescriptor":"UNKNOWN","params":{"entityNameOrId":"FUZZ","layoutType":"FULL","pageSize":100,"currentPage":0,"useTimeout":false,"getCount":false,"enableRowActions":false,"sortBy":"<ArbitraryField>"}}]} Nameフィールドを降順でソートした際の応答を図3に示します。