Une cyberattaque exploitant une application tierce a abouti à violation de données À travers plusieurs instances Salesforce, selon le groupe de renseignements sur les menaces de Google. Les attaques, attribuées à un groupe suivie sous le nom de UNC6395, ont appuyé des jetons OAuth compromis associés à l’application SalesLoft Drift pour exfiltrer des données sensibles.
Le groupe de renseignements sur les menaces de Google (GTIG) a identifié UNC6395 comme l’auteur d’une campagne de «vol de données généralisée». Cette campagne, qui a commencé vers le 8 août et s’est poursuivie au moins le 18 août, a ciblé les instances Salesforce en exploitant les jetons d’authentification appartenant à la SalesLoft Drift application. Cette application, conçue pour automatiser les processus de vente, s’intègre aux bases de données Salesforce à des fins de communication, d’analyse et d’engagement client. Les jetons compromis ont facilité l’accès non autorisé aux informations sensibles stockées dans les systèmes ciblés.
L’objectif principal de l’UNC6395 était l’extraction systématique de grands volumes de données à partir de nombreuses instances Salesforce d’entreprise. Les chercheurs du GTIG ont indiqué que l’intention de l’acteur était de récolter des informations d’identification sensibles, en se concentrant sur les clés d’accès aux services Web d’Amazon (AWS) (Akia), les mots de passe et les jetons d’accès liés aux flocons de neige. Une fois extraits, ces informations pourraient être exploitées pour obtenir un accès non autorisé à divers systèmes et services.
Après l’exfiltration des données, UNC6395 a effectué des recherches dans les informations volées pour identifier les secrets qui pourraient potentiellement être utilisés pour compromettre les environnements de victime. GTIG a déclaré que l’acteur a utilisé des requêtes spécifiques pour identifier ces informations d’identification. Pour cacher leurs activités, le groupe a par la suite supprimé des emplois de requête, tentant d’effacer les preuves du vol de données. L’élimination de ces journaux a rendu plus difficile le traçage de l’étendue de la violation, bien que GTIG ait fourni des conseils pour étudier l’exposition potentielle aux données.
GTIG a publié des recommandations pour l’assainissement et l’atténuation, soulignant que l’impact de la campagne semble être limité aux clients SalesLoft qui intègrent leurs solutions au service Salesforce. Il n’y a aucune preuve suggérant un impact direct sur les clients de Google Cloud. Cependant, GTIG a indiqué que tous les clients utilisant SalesLoft Drift devraient examiner leurs objets Salesforce pour toutes les clés de compte de service de plate-forme Google Cloud, car celles-ci peuvent avoir été exposées pendant le vol de données.
Compte tenu de la nature de l’attaque, GTIG a exhorté les organisations utilisant la dérive intégrée à Salesforce pour considérer leurs données Salesforce compromises et pour prendre des mesures d’assainissement immédiates. Ces étapes sont conçues pour contenir la brèche et empêcher un autre accès non autorisé.
Pour répondre à la situation, SalesLoft a collaboré avec Salesforce pour révoquer tous les jetons actifs et actualisés associés à l’application Drift. Cette action visait à empêcher un accès non autorisé en cours via les jetons compromis. De plus, Salesforce a supprimé l’application Drift de la Salesforce AppExchange en attendant une enquête plus approfondie, ce qui le rend indisponible pour les nouvelles installations jusqu’à ce que les problèmes de sécurité soient résolus. GTIG, Salesforce et Salesloft ont informé les organisations qui auraient été touchées par le vol de données.
Avant cet incident, plusieurs sociétés de haut niveau, notamment Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday et Google, ont signalé des violations via une plate-forme tierce, qui aurait été Salesforce. Le groupe de menaces Shinyhunters a revendiqué la responsabilité de bon nombre de ces attaques, avec des attaques de Vishing citées comme principale méthode de compromis. Ces violations antérieures ont souligné la vulnérabilité des systèmes reposant sur des intégrations tierces.
En juin, Google a indiqué qu’un groupe de menaces à motivation financière, suivi en UNC6040, a usurpé l’identité du personnel de soutien informatique dans les attaques de Vishing pour accéder aux environnements Salesforce des organisations. Google a déclaré que l’UNC6040 prétendait être des brillants. En utilisant ces tactiques, UNC6040 a violé l’une des instances Salesforce de Google. Le rapport a souligné la sophistication croissante des acteurs de la menace dans le ciblage des environnements Salesforce à l’aide de techniques d’ingénierie sociale.
Bien que le calendrier de ces violations de Salesforce antérieures se chevauche avec l’activité de dérive de SalesLoft UNC6395, Google a précisé que les méthodes de compromis sont nettement différentes. Google a déclaré que l’activité de dérive de SalesLoft UNC6395 est distincte des attaques Vishing attribuées à UNC6040. Un porte-parole du GTIG a affirmé qu’il n’y avait aucune preuve convaincante reliant les deux campagnes, indiquant ainsi que les violations sont des événements indépendants réalisés par différents acteurs de menace.
En plus des mesures de correction déjà prises, Google a recommandé que les organisations touchées à rechercher des informations sensibles et des secrets contenus dans les objets Salesforce et prennent les mesures appropriées. Ces actions comprennent la révocation des clés d’API, les références rotatives et la réalisation d’enquêtes supplémentaires pour déterminer si les secrets ont été abusés par UNC6395. Les organisations devraient également étudier le compromis et rechercher des secrets exposés, en utilisant des indicateurs de compromis (CIO) fournis par GTIG, tels que les adresses IP et les chaînes d’agent utilisateur identifiées dans le Article de blog Mandiant. Une recherche plus large d’activité provenant des nœuds de sortie TOR est également conseillée.
D’autres étapes d’atténuation comprennent l’examen des journaux de surveillance des événements Salesforce pour l’activité inhabituelle associée à l’utilisateur de la connexion Drift, l’activité d’authentification de l’application Drift Connected et les événements uniques qui enregistrent les requêtes SOQL exécutées. Les organisations peuvent également ouvrir un cas de support Salesforce pour obtenir des requêtes spécifiques utilisées par l’acteur de menace et des objets Salesforce de recherche pour des secrets potentiels. La révocation immédiate et la rotation des clés ou des secrets découverts, de la réinitialisation des mots de passe et de la configuration des valeurs de délai d’expiration de la session dans les paramètres de session pour limiter la durée de vie d’une session compromise sont également recommandés.
Google a également conseillé aux organisations de durcir les contrôles d’accès en veillant à ce que les applications aient les autorisations minimales nécessaires, de l’application des restrictions IP sur l’application connectée et de la définition de gammes IP de connexion pour permettre l’accès uniquement à partir de réseaux de confiance. Ces mesures visent à réduire la surface d’attaque et à limiter l’impact potentiel des compromis futurs.
