O que é o AuraInspector
Segundo o relatório publicado pela Cyber Security News, a Mandiant lançou o AuraInspector — uma ferramenta de linha de comando destinada a descobrir e auditar misconfigurações de controle de acesso no endpoint Aura do Salesforce. O projeto é distribuído como código aberto no GitHub e opera em modo somente leitura para evitar alterações nos ambientes analisados.
Funcionalidades principais
- Detecção automática do endpoint Aura: identifica o ponto de entrada do Aura sem necessidade de configuração manual;
- Varredura de acesso a objetos: verifica quais objetos e registros estão acessíveis ao usuário guest;
- Descoberta de Record Lists: localiza listas de registros expostas e suas URLs;
- Verificação de self‑registration: checa se registros automáticos de conta estão habilitados e recupera links de inscrição;
- Bypass via GraphQL: usa um controlador GraphQL do Aura para contornar o limite padrão de 2.000 registros;
- Modo somente leitura: garante que nenhuma alteração seja feita nas instâncias escaneadas;
- Relatórios e automação CLI: facilita integração em fluxos de auditoria e testes rotineiros.
Por que importa
O endpoint Aura, parte central da interface Lightning Experience e do Experience Cloud, tem sido um vetor frequente de exposições quando regras de compartilhamento e permissões de guest users são configuradas incorretamente. A Mandiant cita exemplos em que registros sensíveis — cartões de pagamento, documentos de identidade e dados de saúde — ficaram acessíveis por falhas de configuração.
Breakthrough técnico: GraphQL para contornar limite de registros
Um dos recursos destacados é o uso de um método GraphQL no controller Aura para recuperar conjuntos de dados maiores que o limite usual de 2.000 registros. A publicação descreve como o AuraInspector automatiza a construção dessas consultas GraphQL para avaliar o impacto de uma misconfiguração sem exigir procedimentos manuais complexos.
Recomendações práticas
A Mandiant recomenda que administradores do Salesforce realizem auditorias focadas nos seguintes pontos:
- Revisão das regras de compartilhamento (sharing rules) e das configurações organization‑wide defaults;
- Desabilitar self‑registration quando não for necessária ou garantir controles adicionais sobre contas criadas automaticamente;
- Aplicar o princípio do least privilege ao perfil de guest user;
- Executar varreduras periódicas com ferramentas como AuraInspector e integrar descobertas ao processo de correção.
Evidências e limitações
O artigo original informa que o AuraInspector opera apenas em modo de leitura e destina‑se a auxiliar defensores. Não há indicação de que a Mandiant tenha divulgado exemplos de exploração ativa ligados ao uso dessas técnicas; a ferramenta objetiva descobrir exposições de configuração antes que adversários as explorem.
Implicações para equipes de segurança
Organizações que usam Salesforce Experience Cloud — especialmente aquelas que hospedam dados sensíveis — devem incluir verificações específicas de Aura em seu programa de segurança de aplicações em nuvem. A disponibilização open‑source torna possível automatizar auditorias internas e integrar testes no pipeline de segurança.
Onde obter
O AuraInspector está disponível no GitHub conforme informado pela Cyber Security News; administradores e equipes de segurança podem baixar e executar a ferramenta em instâncias de avaliação antes de implantá‑la em rotinas de auditoria.