Κλοπή Δεδομένων από Salesforce μέσω Παραβιασμένου AI Tool
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Κλοπή Δεδομένων από Salesforce μέσω Παραβιασμένου AI Tool
https://www.secnews.gr/657242/klopi-dedomenon-salesforce-paraviash-ai/
Aug 27th 2025, 09:34
by Digital Fortress
Ένας κακόβουλος παράγοντας (UNC6395) κατάφερε να αποκτήσει Salesforce OAuth tokens από ένα third-party integration, που ονομάζεται Salesloft Drift, και χρησιμοποίησε τα tokens αυτά για να κατεβάσει μεγάλους όγκους δεδομένων από ευάλωτα Salesforce instances.
Ένας από τους στόχους του επιτιθέμενου ήταν να βρει και να εξάγει επιπλέον credentials που αποθηκεύονται στα αρχεία Salesforce, ώστε να επεκτείνει την πρόσβασή του.
"Μετά την εξαγωγή των δεδομένων, ο κακόβουλος παράγοντας έψαξε μέσα στα δεδομένα για μυστικά που θα μπορούσαν να χρησιμοποιηθούν για να παραβιάσουν τα περιβάλλοντα των θυμάτων", ανέφερε η Ομάδα Πληροφοριών Απειλών της Google (GTIG). "Η GTIG παρατήρησε ότι η UNC6395 στόχευε ευαίσθητα credentials όπως Amazon Web Services (AWS) access keys (AKIA), passwords και access tokens που σχετίζονται με τη Snowflake".
Δείτε επίσης: Το MixShell malware διανέμεται μέσω Contact Forms
Η Salesloft, μια εταιρεία που λειτουργεί μια πλατφόρμα "sales engagement και revenue orchestration", έχει ήδη εντοπίσει και ειδοποιήσει τους επηρεαζόμενους πελάτες που συνέδεσαν τα συστήματα Salesforce με το AI εργαλείο ζωντανής συνομιλίας Salesloft Drift. Ενώ αυτοί οι χρήστες έχουν ήδη ακυρώσει τα Salesforce authentication tokens, θα πρέπει άμεσα να ξεκινήσουν εσωτερικές έρευνες για να καθορίσουν ποια άλλα διαπιστευτήρια που ήταν αποθηκευμένα σε Salesforce instances μπορεί να έχουν παραβιαστεί. Επίσης, πρέπει να ελεγχθεί αν έχει αποκτηθεί πρόσβαση σε άλλα εξωτερικά στοιχεία.
Τα SaaS-to-SaaS integrations δημιουργούν και κινδύνους
Το OAuth παρέχει έναν εύκολο τρόπο για τις εφαρμογές να κάνουν έλεγχο ταυτότητας μεταξύ τους και πολλές πλατφόρμες εκμεταλλεύονται αυτόν τον μηχανισμό για να ενσωματωθούν με άλλες υπηρεσίες. Ωστόσο, τέτοιες ενσωματώσεις επεκτείνουν στην πραγματικότητα το attack surface.
Κλοπή δεδομένων Salesforce
Η Salesloft ανίχνευσε την μη εξουσιοδοτημένη δραστηριότητα στην πλατφόρμα Drift στις 20 Αυγούστου, αλλά η κατάχρηση των OAuth tokens για πρόσβαση σε δεδομένα Salesforce συνέβη μεταξύ 8 και 18 Αυγούστου. Η ομάδα αντιμετώπισης περιστατικών της Google, Mandiant, σημείωσε ότι ο κακόβουλος παράγοντας, τον οποίο παρακολουθεί ως UNC6395, εξήγαγε μεγάλους όγκους δεδομένων από "πολλά εταιρικά Salesforce instances".
Δείτε επίσης: Κυκλοφόρησε PoC Exploit για Chrome zero-day ευπάθεια
Η Salesforce σημείωσε ότι η μη εξουσιοδοτημένη πρόσβαση δεν προκλήθηκε από ευπάθεια στην δική της πλατφόρμα και έχει αφαιρέσει το Salesloft Drift από το AppExchange εν αναμονή περαιτέρω έρευνας. Επίσης, έχει γίνει ακύρωση των επηρεαζόμενων access tokens.
Οι επιτιθέμενοι εκτέλεσαν SOQL queries για να ανακτήσουν πληροφορίες που σχετίζονται με Salesforce objects, όπως Cases, Accounts, Users και Opportunities, και να εξάγουν δεδομένα από αυτά. Αργότερα, διέγραψαν τα query jobs. Ωστόσο, τα αρχεία καταγραφής δεν επηρεάστηκαν, έτσι οι οργανισμοί μπορούν να ελέγξουν τα αρχεία καταγραφής τους για να καθορίσουν ποια queries εκτελέστηκαν και ποια δεδομένα έκλεψαν οι επιτιθέμενοι.
Τι πρέπει να κάνουν οι χρήστες του Salesloft Drift
Η αναφορά της GTIG και οι συμβουλές της Salesloft περιλαμβάνουν δείκτες παραβίασης όπως διευθύνσεις IP που χρησιμοποιήθηκαν από τους επιτιθέμενους και User-Agent strings για τα εργαλεία που χρησιμοποίησαν για να αποκτήσουν πρόσβαση στα δεδομένα.
Η Mandiant συμβουλεύει τις εταιρείες να αναζητήσουν, επίσης, στα αρχεία καταγραφής οποιαδήποτε δραστηριότητα από γνωστούς κόμβους εξόδου Tor (εκτός από τις διευθύνσεις IP που αναφέρονται στους δείκτες παραβίασης) και να ανοίξουν ένα support ticket με τη Salesforce για να λάβουν μια πλήρη λίστα με τα queries που εκτελέστηκαν από τους επιτιθέμενους.
Οι οργανισμοί θα πρέπει να αναζητήσουν τα δικά τους Salesforce objects για οποιαδήποτε αποθηκευμένα διαπιστευτήρια και να κάνουν rotation, ειδικά αυτά που περιέχουν τους όρους AKIA (AWS), Snowflake, password, secret και key.
Θα πρέπει επίσης να αναζητηθούν strings που σχετίζονται με login URLs οργανισμού, συμπεριλαμβανομένων των σελίδων VPN και SSO. Ένα εργαλείο ανοιχτού κώδικα που ονομάζεται TruffleHog μπορεί επίσης να χρησιμοποιηθεί για να αναζητήσει δεδομένα για hardcoded μυστικά και διαπιστευτήρια.
Δείτε επίσης: Farmers Insurance: Παραβίαση δεδομένων επηρεάζει 1,1 εκατ. πελάτες
"Βλέπουμε τακτικά την παραβίαση και κατάχρηση OAuth2 tokens και SaaS-to-SaaS integrations", δήλωσε στο CSO ο Cory Michal της AppOmni. "Αποτελούν εδώ και καιρό ένα γνωστό τυφλό σημείο στα περισσότερα προγράμματα ασφαλείας επιχειρήσεων. Αυτό που με εξέπληξε ήταν η καθαρή κλίμακα και η μεθοδική πειθαρχία που επέδειξαν οι επιτιθέμενοι. Δεν ήταν ευκαιριακό, φαινόταν εξαιρετικά συντονισμένο, με επίπεδο σχεδιασμού και εκτέλεσης που υποδηλώνει έναν αντίπαλο υποστηριζόμενο από κράτος που επιδιώκει μια ευρύτερη αποστολή".
Το BleepingComputer αναφέρει ότι ένας εκπρόσωπος της ομάδας εκβιαστών ShinyHunters ισχυρίστηκε ότι βρίσκεται πίσω από την επίθεση. Οι ShinyHunters λειτουργούν εδώ και αρκετά χρόνια και ευθύνονται για φερόμενες παραβιάσεις στην AT&T, Ticketmaster και άλλους οργανισμούς. Η ομάδα έχει στοχεύσει λογαριασμούς Snowflake και AWS στο παρελθόν, καθώς και λογαριασμούς Salesforce σε μια πρόσφατη εκστρατεία vishing που περιλάμβανε ψεύτικες κλήσεις υποστήριξης IT.
© SecNews.gr - Κλοπή Δεδομένων από Salesforce μέσω Παραβιασμένου AI Tool
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Κλοπή Δεδομένων από Salesforce μέσω Παραβιασμένου AI Tool
https://www.secnews.gr/657242/klopi-dedomenon-salesforce-paraviash-ai/
Aug 27th 2025, 09:34
by Digital Fortress
Ένας κακόβουλος παράγοντας (UNC6395) κατάφερε να αποκτήσει Salesforce OAuth tokens από ένα third-party integration, που ονομάζεται Salesloft Drift, και χρησιμοποίησε τα tokens αυτά για να κατεβάσει μεγάλους όγκους δεδομένων από ευάλωτα Salesforce instances.
Ένας από τους στόχους του επιτιθέμενου ήταν να βρει και να εξάγει επιπλέον credentials που αποθηκεύονται στα αρχεία Salesforce, ώστε να επεκτείνει την πρόσβασή του.
"Μετά την εξαγωγή των δεδομένων, ο κακόβουλος παράγοντας έψαξε μέσα στα δεδομένα για μυστικά που θα μπορούσαν να χρησιμοποιηθούν για να παραβιάσουν τα περιβάλλοντα των θυμάτων", ανέφερε η Ομάδα Πληροφοριών Απειλών της Google (GTIG). "Η GTIG παρατήρησε ότι η UNC6395 στόχευε ευαίσθητα credentials όπως Amazon Web Services (AWS) access keys (AKIA), passwords και access tokens που σχετίζονται με τη Snowflake".
Δείτε επίσης: Το MixShell malware διανέμεται μέσω Contact Forms
Η Salesloft, μια εταιρεία που λειτουργεί μια πλατφόρμα "sales engagement και revenue orchestration", έχει ήδη εντοπίσει και ειδοποιήσει τους επηρεαζόμενους πελάτες που συνέδεσαν τα συστήματα Salesforce με το AI εργαλείο ζωντανής συνομιλίας Salesloft Drift. Ενώ αυτοί οι χρήστες έχουν ήδη ακυρώσει τα Salesforce authentication tokens, θα πρέπει άμεσα να ξεκινήσουν εσωτερικές έρευνες για να καθορίσουν ποια άλλα διαπιστευτήρια που ήταν αποθηκευμένα σε Salesforce instances μπορεί να έχουν παραβιαστεί. Επίσης, πρέπει να ελεγχθεί αν έχει αποκτηθεί πρόσβαση σε άλλα εξωτερικά στοιχεία.
Τα SaaS-to-SaaS integrations δημιουργούν και κινδύνους
Το OAuth παρέχει έναν εύκολο τρόπο για τις εφαρμογές να κάνουν έλεγχο ταυτότητας μεταξύ τους και πολλές πλατφόρμες εκμεταλλεύονται αυτόν τον μηχανισμό για να ενσωματωθούν με άλλες υπηρεσίες. Ωστόσο, τέτοιες ενσωματώσεις επεκτείνουν στην πραγματικότητα το attack surface.
Κλοπή δεδομένων Salesforce
Η Salesloft ανίχνευσε την μη εξουσιοδοτημένη δραστηριότητα στην πλατφόρμα Drift στις 20 Αυγούστου, αλλά η κατάχρηση των OAuth tokens για πρόσβαση σε δεδομένα Salesforce συνέβη μεταξύ 8 και 18 Αυγούστου. Η ομάδα αντιμετώπισης περιστατικών της Google, Mandiant, σημείωσε ότι ο κακόβουλος παράγοντας, τον οποίο παρακολουθεί ως UNC6395, εξήγαγε μεγάλους όγκους δεδομένων από "πολλά εταιρικά Salesforce instances".
Δείτε επίσης: Κυκλοφόρησε PoC Exploit για Chrome zero-day ευπάθεια
Η Salesforce σημείωσε ότι η μη εξουσιοδοτημένη πρόσβαση δεν προκλήθηκε από ευπάθεια στην δική της πλατφόρμα και έχει αφαιρέσει το Salesloft Drift από το AppExchange εν αναμονή περαιτέρω έρευνας. Επίσης, έχει γίνει ακύρωση των επηρεαζόμενων access tokens.
Οι επιτιθέμενοι εκτέλεσαν SOQL queries για να ανακτήσουν πληροφορίες που σχετίζονται με Salesforce objects, όπως Cases, Accounts, Users και Opportunities, και να εξάγουν δεδομένα από αυτά. Αργότερα, διέγραψαν τα query jobs. Ωστόσο, τα αρχεία καταγραφής δεν επηρεάστηκαν, έτσι οι οργανισμοί μπορούν να ελέγξουν τα αρχεία καταγραφής τους για να καθορίσουν ποια queries εκτελέστηκαν και ποια δεδομένα έκλεψαν οι επιτιθέμενοι.
Τι πρέπει να κάνουν οι χρήστες του Salesloft Drift
Η αναφορά της GTIG και οι συμβουλές της Salesloft περιλαμβάνουν δείκτες παραβίασης όπως διευθύνσεις IP που χρησιμοποιήθηκαν από τους επιτιθέμενους και User-Agent strings για τα εργαλεία που χρησιμοποίησαν για να αποκτήσουν πρόσβαση στα δεδομένα.
Η Mandiant συμβουλεύει τις εταιρείες να αναζητήσουν, επίσης, στα αρχεία καταγραφής οποιαδήποτε δραστηριότητα από γνωστούς κόμβους εξόδου Tor (εκτός από τις διευθύνσεις IP που αναφέρονται στους δείκτες παραβίασης) και να ανοίξουν ένα support ticket με τη Salesforce για να λάβουν μια πλήρη λίστα με τα queries που εκτελέστηκαν από τους επιτιθέμενους.
Οι οργανισμοί θα πρέπει να αναζητήσουν τα δικά τους Salesforce objects για οποιαδήποτε αποθηκευμένα διαπιστευτήρια και να κάνουν rotation, ειδικά αυτά που περιέχουν τους όρους AKIA (AWS), Snowflake, password, secret και key.
Θα πρέπει επίσης να αναζητηθούν strings που σχετίζονται με login URLs οργανισμού, συμπεριλαμβανομένων των σελίδων VPN και SSO. Ένα εργαλείο ανοιχτού κώδικα που ονομάζεται TruffleHog μπορεί επίσης να χρησιμοποιηθεί για να αναζητήσει δεδομένα για hardcoded μυστικά και διαπιστευτήρια.
Δείτε επίσης: Farmers Insurance: Παραβίαση δεδομένων επηρεάζει 1,1 εκατ. πελάτες
"Βλέπουμε τακτικά την παραβίαση και κατάχρηση OAuth2 tokens και SaaS-to-SaaS integrations", δήλωσε στο CSO ο Cory Michal της AppOmni. "Αποτελούν εδώ και καιρό ένα γνωστό τυφλό σημείο στα περισσότερα προγράμματα ασφαλείας επιχειρήσεων. Αυτό που με εξέπληξε ήταν η καθαρή κλίμακα και η μεθοδική πειθαρχία που επέδειξαν οι επιτιθέμενοι. Δεν ήταν ευκαιριακό, φαινόταν εξαιρετικά συντονισμένο, με επίπεδο σχεδιασμού και εκτέλεσης που υποδηλώνει έναν αντίπαλο υποστηριζόμενο από κράτος που επιδιώκει μια ευρύτερη αποστολή".
Το BleepingComputer αναφέρει ότι ένας εκπρόσωπος της ομάδας εκβιαστών ShinyHunters ισχυρίστηκε ότι βρίσκεται πίσω από την επίθεση. Οι ShinyHunters λειτουργούν εδώ και αρκετά χρόνια και ευθύνονται για φερόμενες παραβιάσεις στην AT&T, Ticketmaster και άλλους οργανισμούς. Η ομάδα έχει στοχεύσει λογαριασμούς Snowflake και AWS στο παρελθόν, καθώς και λογαριασμούς Salesforce σε μια πρόσφατη εκστρατεία vishing που περιλάμβανε ψεύτικες κλήσεις υποστήριξης IT.
© SecNews.gr - Κλοπή Δεδομένων από Salesforce μέσω Παραβιασμένου AI Tool
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672