„Salesloft“ duomenų pažeidimas
Didelio masto kibernetinė ataka pakenkė „Salesloft“ integracijai su „Drift AI“ pokalbių agentu, leisdama įsilaužėliams pavogti „OAuth“ ir atnaujinimo žetonus. Grėsmės veikėjas, sekamas kaip UNC6395, pasinaudojo šiais pavogtais žetonais, kad įsilaužtų į „Salesforce“ klientų aplinkas. Saugumo ekspertai nustatė, kad daugiau nei 700 organizacijų gali būti paveiktos.
Turinys
Pažeidimo laiko juosta
Tyrimai rodo, kad kenkėjiška veikla vyko nuo 2025 m. rugpjūčio 8 d. iki rugpjūčio 18 d. Šiuo laikotarpiu užpuolikai pasinaudojo pažeistais „OAuth“ žetonais, susietais su „Drift“, kad įsiskverbtų į „Salesforce“ instancijas. Patekę į vidų, jie eksportavo didžiulius kiekius įmonės duomenų, siekdami rinkti slaptus prisijungimo duomenis, tokius kaip:
- „Amazon Web Services“ (AWS) prieigos raktai
- Slaptažodžiai
- Su snaigėmis susiję žetonai
Puolimo metodai ir prekybos menai
Šią kampaniją išskiria metodiškas UNC6395 tikslumas. Jie neatliko vienkartinio įsilaužimo, o vietoj to pradėjo struktūrizuotas ir pakartotines atakas prieš šimtus „Salesforce“ nuomininkų. Svarbiausi pastebėjimai:
Disciplinuotas vykdymas – užklausos buvo sistemingai vykdomos siekiant identifikuoti ir išgauti kredencialus.
Operatyvinis sąmoningumas – užpuolikai ištrynė užklausų užduotis, kad paslėptų savo veiklos pėdsakus.
Taikinio pasirinkimas – daugelis įsilaužėlių organizacijų buvo technologijų ir saugumo teikėjos, o tai rodo, kad tai galėtų būti bandymas įsiskverbti į tiekimo grandinę.
Kompromituodamas tiekėjus ir paslaugų teikėjus, grupė užsitikrino galimybę plėsti atakas į klientų ir partnerių ekosistemas.
„Salesloft“ ir „Salesforce“ atsakymas
„Salesloft“ 2025 m. rugpjūčio 20 d. išleido pranešimą, kuriame pripažino pažeidimą ir patvirtino, kad atšaukė visus „Drift“ ir „Salesforce“ ryšius. „Salesforce“ paskelbė savo pareiškimą, kuriame pažymėjo, kad tiesiogiai nukentėjo tik „nedidelis skaičius klientų“. Abi bendrovės po incidento nedelsdamos ėmėsi veiksmų:
- Negaliojantys aktyvūs prieigos ir atnaujinimo žetonai
- Pašalintas „Drift“ iš „AppExchange“
- Bendradarbiavo siekiant suvaldyti išpuolį ir įvertinti poveikį
„Salesloft“ pabrėžė, kad šis incidentas neturi įtakos organizacijoms be „Salesforce“ integracijų.
Platesnis grėsmių kraštovaizdis
„Salesforce“ aplinkos vis labiau tampa pelningais taikiniais finansiškai motyvuotoms grupėms. Kiti klasteriai, tokie kaip UNC6040 ir UNC6240 („ShinyHunters“), yra žinomi dėl SaaS aplinkų išnaudojimo, o UNC6240 netgi bendradarbiauja su „Scattered Spider“ (UNC3944) pradinės prieigos kampanijoms.
Šiuo metu nėra jokių įrodymų, siejančių UNC6395 su šiomis grupėmis, todėl tai yra naujas ir atskiras grėsmių klasteris. Tačiau dėl savo masto, dėmesio centro ir sudėtingumo jis priskiriamas tai pačiai didelės rizikos priešininkų grupei.
Švelninimas ir tolesni žingsniai
„Salesloft“ pasitelkė trečiųjų šalių saugumo tiekėjus, kad šie padėtų atlikti tyrimus ir spręsti problemas. Bendrovė ragina administratorius iš naujo autentifikuoti „Salesforce“ ryšius, kad būtų atkurtos integracijos ir imtasi papildomų saugumo priemonių.
Pagrindinės rekomendacijos apima:
- Esamų API raktų atšaukimas ir rotavimas
- „Drift“ integracijų pakartotinis prijungimas prie naujų raktų
- Žurnalų peržiūra ieškant įtartinų užklausų ir galimo duomenų atskleidimo
- Atlikti išsamesnius tyrimus siekiant nustatyti poveikį
Organizacijoms, valdančioms „Drift“ ryšius per API raktus, primygtinai rekomenduojamas proaktyvus raktų rotavimas. Tačiau „Salesloft“ jau tiesiogiai sprendžia „OAuth“ integracijų klausimus.
Galutinė išvada
Ši kampanija pabrėžia augančią trečiųjų šalių integracijų SaaS ekosistemose riziką. Piktnaudžiaudamas pavogtais OAuth žetonais, UNC6395 pademonstravo gebėjimą vykdyti tikslines, slaptas ir į tiekimo grandinę orientuotas operacijas. Šis renginys primena, kad debesijos platformos, nors ir galingos, išlieka pagrindiniais taikiniais grėsmės veikėjams, siekiantiems išnaudoti pasitikėjimo ryšius visoje skaitmeninėje tiekimo grandinėje.
