利用第三方申请的网络攻击已导致 数据泄露 根据Google的威胁情报小组的说法,在多个Salesforce实例中。这些攻击归因于所追踪为UNC6395的组的攻击,利用与SalesLoft Drift应用程序相关的OAuth代币损害了渗透敏感数据。
Google的威胁情报小组(GTIG)将UNC6395确定为“广泛数据盗窃”活动的肇事者。这项运动于8月8日左右开始,至少持续至8月18日,通过利用属于身份验证令牌的销售大通实例 SalesLoft Drift 应用。该应用程序旨在自动化销售流程,并与Salesforce数据库集成,以进行通信,分析和客户参与目的。受损的代币促进了未经授权的访问目标系统中存储的敏感信息。
UNC6395的主要目的是从众多企业销售大通实例中系统地提取大量数据。 GTIG研究人员表示,演员的目的是收获敏感的证书,重点关注Amazon Web Services(AWS)访问密钥(AKIA),密码和与雪花相关的访问令牌。提取后,可以利用此信息来获得对各种系统和服务的未经授权访问。
数据渗透后,UNC6395在被盗信息中进行了搜索,以识别有可能用于损害受害者环境的秘密。 GTIG表示,演员使用特定的查询来识别这些凭据。为了掩盖他们的活动,该小组随后删除了查询工作,试图删除数据盗窃的证据。尽管GTIG为研究潜在的数据暴露提供了指导,但删除这些日志使违规的全部范围更加困难。
GTIG发布了有关补救和缓解措施的建议,强调该活动的影响似乎仅限于将其解决方案与Salesforce服务集成的SalesLoft客户。没有证据表明直接影响Google Cloud客户。但是,GTIG建议任何利用SalesLoft Drift的客户都应为任何Google Cloud Platform Service帐户密钥查看其Salesforce对象,因为这些键可能在数据盗窃过程中暴露了。
鉴于攻击的性质,GTIG敦促组织使用与Salesforce集成的漂移,以考虑其Salesforce数据受到损害并立即采取补救步骤。这些步骤旨在包含漏洞并防止进一步的未经授权的访问。
为了解决这种情况,SalesLoft与Salesforce合作,撤销了与Drift应用程序相关的所有主动访问和刷新令牌。该动作旨在防止通过受损的代币进行持续的未经授权的访问。此外,Salesforce从Salesforce AppExchange中删除了Drift应用程序,等待进一步的调查,这使得新设施不可用,直到解决安全性问题为止。 GTIG,Salesforce和Salesloft已通知组织据信受到数据盗用影响的组织。
在此事件发生之前,包括adidas,Pandora,Allianz,Tiffany&Co。,Dior,Louis Vuitton,Workday和Google在内的多家备受瞩目的公司报告了通过第三方平台的违规行为,据报道是Salesforce的第三方平台。威胁集团Hexhunters声称对许多此类攻击负责,并被视为妥协的主要方法。这些较早的违规行为强调了依赖第三方集成的系统的脆弱性。
6月,Google报道说,一个以UND6040为本的出于经济动机的威胁集团正在模仿IT支持员工进行捕捞攻击,以访问组织的Salesforce环境。 Google表示,UNC6040声称自己是Shinyhunters。使用这些策略,UNC6040违反了Google自己的Salesforce实例之一。该报告强调了威胁参与者在使用社会工程技术瞄准Salesforce环境中的成熟程度的日益成熟。
尽管这些较早的Salesforce违规的时间表与UNC6395 Salesloft Drift活动重叠,但Google澄清说,妥协的方法截然不同。 Google表示,UNC6395 SalesLoft Drift Activity与归因于UNC6040的捕获攻击是分开的。 GTIG发言人确认,连接这两个运动没有令人信服的证据,因此表明违规是由不同威胁参与者进行的独立事件。
除了已经采取的补救步骤外,Google还建议对组织搜索Salesforce对象中包含的敏感信息和秘密并采取适当的措施。这些行动包括撤销API键,旋转凭证以及进行进一步的调查以确定秘密是否被UNC6395滥用。组织还应使用GTIG提供的妥协(IOC)的指标(例如IP地址和用户代理字符串)进行妥协的妥协和扫描,以了解暴露的秘密(IOC) Mandiant博客文章。还建议对源自出口节点的活动进行更广泛的搜索。
进一步的缓解步骤包括审查与漂移连接用户相关的异常活动的Salesforce事件监视日志,来自Drift Connected App的身份验证活动以及执行SOQL查询的唯一信息事件。组织还可以打开Salesforce支持案例,以获取威胁参与者使用的特定查询,并搜索Salesforce对象以获取潜在秘密。还建议在会话设置中立即撤销和旋转发现的密钥或秘密,重置密码以及在会话设置中配置会话超时值以限制会话的寿命。
Google还建议组织通过确保应用程序具有最小必要的权限,对连接的应用程序执行IP限制,并定义登录IP范围,以仅允许从受信任的网络允许访问。这些措施旨在减少攻击表面并限制未来妥协的潜在影响。
