Atac asupra lanțului de aprovizionare: Palo Alto Networks compromisă prin tokenuri OAuth furate din Salesloft Drift

Palo Alto Networks a anunțat că a fost vizată într-un atac de tip supply-chain, în urma căruia atacatorii au folosit tokenuri OAuth compromise, rezultate dintr-o breșă la Salesloft Drift, pentru a pătrunde în instanța sa Salesforce. Incidentul a expus informații despre clienți și înregistrări de suport, iar compania afirmă că se află printre „sutele” de clienți afectați de această campanie. Din perspectivă istorică, exploatarea legăturilor dintre servicii cloud nu este o noutate totală: migrarea masivă către instrumente SaaS a creat dependențe care, odată compromise, permit mișcări laterale rapide, exact ce s-a întâmplat aici.

Palo Alto Networks a confirmat pentru BleepingComputer că incidentul a fost restrâns la CRM-ul Salesforce și nu a compromis produsele, sistemele sau serviciile sale. Reprezentanții au spus că au limitat rapid situația și au dezactivat aplicația afectată din mediul Salesforce. Ancheta internă a Unit 42 indică faptul că atacatorii au extras în principal informații de contact de business, înregistrări interne ale conturilor de vânzări și date de bază din cazuri de suport. Compania comunică că va informa direct clienții impactați.

Campania, supravegheată de Google Threat Intelligence sub denumirea UNC6395, a vizat în mod special cazurile de suport pentru a identifica date sensibile, tokenuri de autentificare, parole și secrete cloud, pe care atacatorii le-ar fi putut folosi pentru a avansa către alte servicii cloud și a sustrage date în scopuri de extorcare. Palo Alto Networks avertizează că a avut loc o exfiltrare pe scară largă a obiectelor Salesforce, inclusiv Account, Contact, Case și Opportunity. După extragerea datelor, atacatorii păreau să le scaneze în căutare de credențiale, probabil pentru a-și extinde accesul. De asemenea, au șters interogările pentru a masca urmele activității, o tehnică anti-forensic frecvent utilizată de grupări sofisticate.

Printre secretele căutate s-au numărat chei AWS (AKIA), tokenuri Snowflake, șiruri de autentificare pentru VPN și SSO, precum și termeni generici precum password, secret sau key. Astfel de date pot permite compromiterea altor platforme cloud și pot alimenta solicitări de răscumpărare. Google și Palo Alto Networks au remarcat utilizarea unor instrumente automate cu user-agent-uri care sugerează scripturi Python personalizate, precum python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0 sau Salesforce-CLI/1.0. Atacatorii au folosit Tor pentru a-și ascunde originea și au șters jurnalele pentru a reduce probabilitatea de detectare.

După ce incidentul a fost descoperit, Palo Alto Networks a revocat tokenurile implicate și a rotit credențialele afectate. Compania recomandă clienților Salesloft Drift să trateze situația ca urgentă: să analizeze jurnalele Salesforce, cele ale furnizorilor de identitate și jurnalele de rețea pentru posibile compromisuri, să verifice integrările Drift pentru conexiuni suspecte, să revoce și să rotească chei și secrete, și să utilizeze instrumente automate, precum Trufflehog și Gitleaks, pentru a scana repository-urile de cod în căutarea cheilor încorporate. În caz de exfiltrare confirmată, datele scoase ar trebui analizate pentru a identifica eventuale credențiale.

Atât Palo Alto Networks, cât și Salesforce și Google au dezactivat integrările Drift în timpul investigațiilor pentru a stabili modul în care tokenurile OAuth au fost sustrase. Această campanie face parte dintr-un val mai amplu de incidente care au vizat date Salesforce recent. De la începutul anului, atacuri de exfiltrare asupra instanțelor Salesforce au fost atribuite unor actori legați de gruparea ShinyHunters, iar tehnicile folosite au inclus și vishing pentru a convinge angajați să acorde permisiuni aplicațiilor OAuth malițioase. Diferența în cazul actual este că, prin breșa Salesloft, atacatorii au obținut tokenuri direct și le-au folosit pentru a extrage date, fără necesitatea unei interacțiuni umane cu fiecare victimă. Din iunie, numeroase companii mari au raportat incidente asociate acestor atacuri, printre care Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life și subsidiare LVMH precum Louis Vuitton, Dior și Tiffany & Co.

Cercetătorii discută dacă aceste incidente au același autor, dar Google a spus că nu există, până în prezent, dovezi concludente care să conecteze toate cazurile. Este un aspect important de urmărit, mai ales deoarece instrumentele automate și tokenurile furate pot declanșa o reacție în lanț greu de oprit. În paralel, alte firme precum Zscaler și Google au confirmat că au fost afectate de atacul asupra lanțului de aprovizionare legat de Salesloft.

Palo Alto Networks a oferit detalii specifice despre obiectele vizate în Salesforce: Account, Contact, Case și Opportunity. Companiile impactate trebuie să verifice jurnalele, să revoce tokenurile și să caute în datele extrase eventuale credențiale. Ancheta continuă pentru a clarifica exact cum au fost compromise tokenurile OAuth. Rotirea cheilor și monitorizarea activă rămân pași esențiali pentru reducerea impactului. În exemplul Palo Alto Networks: verificați integrările (Drift, Salesloft), revocați tokenurile compromise și rulați scanări cu Trufflehog sau Gitleaks pentru a identifica chei expuse în cod. Acțiuni concrete, nume și instrumente: Salesforce, Drift, Salesloft, Trufflehog, Gitleaks, Unit 42, Google Threat Intelligence.

Pornind de la cazul Palo Alto Networks și instrumentele menționate, concluzia practică este clară: inspectați integrările externe, rotați tokenurile și folosiți scanări automate pentru a detecta secrete în cod. Creșterea dependenței de aplicații SaaS impune un control mai strict al permisiunilor și al gestionării tokenurilor. Cum crezi că ar trebui organizată monitorizarea integrărilor SaaS la nivelul unei companii medii?