网络安全公司Zscaler已发出警告,以警告影响其客户的数据泄露。违规源于其Salesforce实例的折衷方案,该实例是针对SalesLoft Drift的供应链攻击。攻击者访问了Oauth和Refresh代币,这有助于未经授权访问Zscaler的Salesforce环境和敏感客户数据的剥落。
ZScaler的建议指出,与Salesforce集成的AI聊天代理SalesLoft Drift的妥协导致了曝光率。攻击者利用了被盗的Oauth和刷新令牌,以访问客户销售Force环境。 ZScaler的声明强调,“未经授权的演员可以访问包括ZScaler在内的客户的销售Ldrif凭据”,进一步指出,这些凭据“允许有限访问某些Zscaler的Salesforce信息”。
漏洞中暴露的数据包括一系列客户信息。这包括名称,业务电子邮件地址,作业标题,电话号码,区域或位置详细信息以及Zscaler产品许可和商业信息。漏洞还暴露了某些支持案例的内容。 Zscaler强调,该事件被隔离在其Salesforce实例中,并且不会影响任何Zscaler产品,服务或基础设施。
尽管Zscaler尚未发现对剥离数据的任何滥用,但该公司敦促客户谨慎行事。建议客户对可能利用暴露信息的潜在网络钓鱼和社会工程攻击保持警惕。作为预防措施,Zscaler已将所有SalesLoft Drift Integration撤销了其Salesforce实例,并旋转了其他API令牌。目前正在对该事件进行内部调查。为了进一步减轻风险,Zscaler增强了其客户身份验证协议,以防止社会工程尝试。
Google威胁情报将UNC6395确定为攻击背后的威胁参与者。该演员以针对敏感凭证的目标而闻名,包括亚马逊网络服务(AWS)访问密钥(AKIA),密码和与雪花相关的访问令牌。 Google的报告指出:“ GTIG观察到UNC6395针对敏感凭证,例如Amazon Web Services(AWS)访问密钥(AKIA),密码和与雪花相关的访问令牌。”该报告还提到:“ UNC6395通过删除查询工作证明了运营安全意识;但是,日志没有影响,组织仍应审查相关日志以证明数据暴露的证据。”
Salesloft Supply-supply-supply链攻击扩展到了Drift Salesforce集成之外。它还影响了漂移电子邮件,这是一种用于管理电子邮件回复和组织CRM和营销自动化数据库的工具。据报道,攻击者已利用被盗的Oauth代币来访问Google Workspace电子邮件帐户并阅读电子邮件。这种更广泛的影响促使Google和Salesforce暂时禁用其漂移整合,直到正在进行的调查完成。
一些研究人员提出,造成Shinyhunters勒索组的SalesLoft Drift折衷与最近的Salesforce数据盗用攻击之间存在潜在的联系。该连接的具体细节仍在调查中,需要进一步的信息来确认这些事件之间的任何直接联系。
