Un ciberataque que explota una aplicación de terceros ha resultado en violaciones de datos En múltiples instancias de Salesforce, según el grupo de inteligencia de amenazas de Google. Los ataques, atribuidos a un grupo rastreado como UNC6395, apalancaron tokens OAuth comprometidos asociados con la aplicación de deriva SalesLoft para exfiltrar datos confidenciales.
El Grupo de Inteligencia de Amenazos de Google (GTIG) identificó UNC6395 como el autor de una campaña de «robo de datos generalizados». Esta campaña, que comenzó alrededor del 8 de agosto y continuó hasta al menos el 18 de agosto, se dirigió a instancias de la fuerza de ventas al explotar tokens de autenticación pertenecientes a los Drift de SalesLoft solicitud. Esta aplicación, diseñada para automatizar los procesos de ventas, se integra con las bases de datos de Salesforce para fines de comunicación, análisis y participación del cliente. Los tokens comprometidos facilitaron el acceso no autorizado a la información confidencial almacenada dentro de los sistemas específicos.
El objetivo principal de UNC6395 fue la extracción sistemática de grandes volúmenes de datos de numerosas instancias de la fuerza de ventas corporativas. Los investigadores de GTIG indicaron que la intención del actor era cosechar credenciales confidenciales, centrándose en las claves de acceso de Amazon Web Services (AWS) (AKIA), contraseñas y tokens de acceso relacionados con el copo de nieve. Una vez extraída, esta información podría aprovecharse para obtener acceso no autorizado a varios sistemas y servicios.
Después de la exfiltración de datos, UNC6395 realizó búsquedas dentro de la información robada para identificar secretos que podrían usarse para comprometer los entornos de las víctimas. GTIG declaró que el actor utilizó consultas específicas para identificar estas credenciales. Para ocultar sus actividades, el grupo posteriormente eliminó los trabajos de consulta, intentando borrar evidencia del robo de datos. La eliminación de estos registros hizo que el rastreo de la extensión máxima de la violación sea más difícil, aunque GTIG ha proporcionado orientación para investigar la posible exposición de datos.
GTIG emitió recomendaciones para la remediación y la mitigación, enfatizando que el impacto de la campaña parece estar limitado a los clientes de SalesLoft que integran sus soluciones con el servicio Salesforce. No hay evidencia que sugiera un impacto directo en los clientes de Google Cloud. Sin embargo, GTIG aconsejó que cualquier cliente que utilice la deriva de SalesLoft debe revisar sus objetos de Salesforce para cualquier clave de cuenta de servicio de Google Cloud Platform, ya que pueden haber sido expuestos durante el robo de datos.
Dada la naturaleza del ataque, GTIG instó a las organizaciones que usan Drift integradas con Salesforce a considerar sus datos de Salesforce comprometidos y a tomar medidas de remediación inmediata. Estos pasos están diseñados para contener la violación y evitar un mayor acceso no autorizado.
Para abordar la situación, SalesLoft colaboró con Salesforce para revocar todo el acceso activo y actualizar tokens asociados con la aplicación de deriva. Esta acción tenía como objetivo evitar el acceso no autorizado en curso a través de los tokens comprometidos. Además, Salesforce eliminó la aplicación Drift de Salesforce AppExchange en espera de una investigación adicional, por lo que no está disponible para nuevas instalaciones hasta que se resuelvan las preocupaciones de seguridad. GTIG, Salesforce y SalesLoft han notificado a las organizaciones que se cree que se ven afectadas por el robo de datos.
Antes de este incidente, múltiples compañías de alto perfil, incluidas Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday y Google, informaron infracciones a través de una plataforma de terceros, que, según los informes, era Salesforce. El grupo de amenazas Shinyhunters se atribuyó la responsabilidad de muchos de estos ataques, con ataques de Vishing citados como el método principal de compromiso. Estas violaciones anteriores subrayaron la vulnerabilidad de los sistemas que dependen de las integraciones de terceros.
En junio, Google informó que un grupo de amenazas motivado financieramente, que rastreaba como UNC6040, estaba haciéndose pasar por el personal de apoyo de TI en ataques de vishado para obtener acceso a los entornos de Salesforce de las organizaciones. Google declaró que UNC6040 afirmaba ser Shinyhunters. Usando estas tácticas, UNC6040 violó una de las propias instancias de Salesforce de Google. El informe destacó la creciente sofisticación de los actores de amenazas en los entornos de Salesforce para utilizar técnicas de ingeniería social.
Si bien la línea de tiempo de estas violaciones anteriores de Salesforce se superpone con la actividad de deriva de SalesLoft UNC6395, Google aclaró que los métodos de compromiso son claramente diferentes. Google ha declarado que la actividad de deriva de SalesLoft UNC6395 está separada de los ataques de Vishing atribuidos a UNC6040. Un portavoz de GTIG afirmó que no hay evidencia convincente que conecte las dos campañas, lo que indica que las infracciones son eventos independientes llevados a cabo por diferentes actores de amenazas.
Además de los pasos de remediación ya tomados, Google recomendó que las organizaciones impactadas buscan información confidencial y secretos contenidos dentro de los objetos de Salesforce y tomen las medidas apropiadas. Estas acciones incluyen revocar las claves API, las credenciales rotativas y realizar más investigaciones para determinar si UNC6395 abusó de los secretos. Las organizaciones también deben investigar el compromiso y la exploración de secretos expuestos, utilizando indicadores de compromiso (COI) proporcionados por GTIG, como direcciones IP y cadenas de agentes de usuario identificados en el Mandiant Blog Public. También se recomienda una búsqueda más amplia de actividad que se origina en los nodos de salida TOR.
Otros pasos de mitigación incluyen revisar los registros de monitoreo de eventos de Salesforce para una actividad inusual asociada con el usuario de la conexión de deriva, la actividad de autenticación de la aplicación conectada a la deriva y eventos únicos que registran consultas SOQL ejecutadas. Las organizaciones también pueden abrir un caso de soporte de Salesforce para obtener consultas específicas utilizadas por el actor de amenazas y los objetos de búsqueda de ventas para posibles secretos. La revocación inmediata y la rotación de claves o secretos descubiertos, restableciendo las contraseñas y la configuración de los valores de tiempo de espera de la sesión en la configuración de la sesión para limitar la vida útil de una sesión comprometida.
Google también aconsejó a las organizaciones que endurecen los controles de acceso asegurando que las aplicaciones tengan los permisos mínimos necesarios, aplicando restricciones IP en la aplicación conectada y definiendo rangos de inicio de sesión para permitir el acceso solo desde redes confiables. Estas medidas apuntan a reducir la superficie del ataque y limitar el impacto potencial de los compromisos futuros.
