Messzire ér a Salesloft Drift kihasználása
Palo Alto Networks incidense során ügyféladatok és támogatási esetek kerültek nyilvánosságra, miután kiderült, hogy az OAuth-tokent tartalmazó Salesloft Drift biztonsági rést kihasználva támadók hozzáfértek a cég Salesforce-fiókjához. Ez az ellátási lánc támadás lehetővé tette számukra, hogy érzékeny ügyféladatokat és támogatási eseteket szivárogtassanak ki a rendszerből. A támadás nem korlátozódott csupán a Palo Alto-ra, a biztonságos infrastruktúrát ért behatolás hatást gyakorolt több száz, hasonló rendszert használó vállalatra is, köztük a távbiztonság területén tevékenykedő Zscaler-re és más társakra is. A támadás nyomán üzleti és elérhetőségi adatokat – például ügyfélkapcsolati információkat, belső értékesítési fiókadatait és alapvető szervizesetek leírását – loptak el. A vállalat egyes ügyfelei ugyanakkor különösen veszélyeztetettek lehettek, ha az adott támogatási esetekben jelszavak vagy egyéb hitelesítő információk is szerepeltek. A vizsgálat során kiderült, hogy a kiberbűnözők nemcsak letöltötték ezt az adatot, hanem automatikusan átvizsgálták is, keresve az AWS kulcsokat, Snowflake tokeneket, VPN vagy SSO bejelentkezési adatokat, és kulcsszavakat, mint password, secret vagy key. A tevékenység leleplezése után technikai eszközökkel takarták el nyomukat, például elfelejtették a lekérdezéseket. Palo Alto Networks azonnal leállította a Drift alkalmazást Salesforce környezetében, majd a Unit 42 biztonsági csapata vizsgálatot indított. A cég megerősítette, hogy az incidens kizárólag a CRM-platformot érintette, és nem érintette sem a szolgáltatásaikat, sem a termékeiket, ezek továbbra is teljesen működőképesek maradtak. Ugyanakkor azok az ügyfelek, akiknél különösen érzékeny adat került kompromittálódásra – például belépési adatok vagy titkos tokenek –, azok számára közvetlen értesítést küldenek. A társaság a biztonság további erősítése érdekében leállította a kérdéses integrációkat, visszavonta az érintett OAuth tokeneket, és kicserélte a potenciálisan veszélyes hitelesítési adatokat. Ugyanakkor arra hívja fel ügyfelei figyelmét, hogy ellenőrizzék a Salesforce bejelentkezési eseményeket, API-hozzáféréseket és audit naplókat, valamint vizsgálják át a Drift integrációt, hogy azonosítsák az esetleges további támadási lehetőségeket.
Miután a támadok jogosulatlanul hozzáférést szerzett Cloudflare Salesforce-rendszeréhez — ami kapcsolatban áll a Salesloft Drift chatbot integrációjával —, a Cloudflare csapata azonnal elindította vizsgálatát és megkezdte a helyreállítást. A támadó a Salesforce “case” objektumait érte el, ahol a cég ügyféltámogatási ügyeinek részletei, esetleges beágyazott jelszóvédett információk vagy tokenek is megtalálhatók voltak. A Cloudflare szakértői külön auditot készítettek: keresést hajtottak végre az exfiltrálódott adatok közt, és megállapították, hogy mintegy 104 Cloudflare API token került ki ezek közé. Bár semmilyen gyanús tevékenységet nem találtak hozzájuk kapcsolódóan, valós vagy potenciális kockázat miatt a tokeneket elővigyázatosságból törölték és újat bocsátottak ki. Azt hangsúlyozzák, hogy bár Cloudflare semmilyen termékét vagy infrastruktúráját nem érte közvetlen sérülés, az ügyféltől kapott bizonyos információk — beleértve logokat, tokeneket vagy jelszavakat — a Salesforce “case” adatai révén kompromittálódhattak, és ezért minden erről értesülő ügyfelüket azonnal személyesen tájékoztatták. A cég elismerte, hogy a harmadik fél szolgáltatóválasztása komoly kockázatot jelenthetett, és kifejezte, hogy mélységesen sajnálja, ha a támadás miatt ügyfelei bizalma sérült. A blogbejegyzés ezen túlmenően lépésről lépésre ismerteti az incidens idővonalát és a megtett biztonsági intézkedéseket.
Amikor az Okta biztonsági csapata értesült arról, hogy a kompromittált Salesloft Drift OAuth-tokenekkel megkíséreltek hozzáférést szerezni az Okta Salesforce-rendszeréhez, az elemzésbe azonnal bevonták a naplókat. A vizsgálat megerősítette, hogy valóban ilyen kísérletek történtek, és ezáltal az Okta célpontjává váltak. Mindennek ellenére a támadók nem jártak sikerrel — a támadás megállítása kulcsfontosságú védelmi rétegnek bizonyult: az érkezési IP-címek korlátozása. Már maga a token birtoklása elegendő lett volna a behatoláshoz, ám Okta úgy alakította ki rendszerét, hogy csak meghatározott, megbízható IP-címekről érkező kéréseket fogadjon. Így már az első lépésnél, még a token használata előtt, megfojtották a támadást.