L’un de leurs objectifs était d’accéder à d’autres informations d’identification pour compromettre d’autres environnements.
Un acteur de menace a réussi à obtenir des jetons Salesforce OAuth à partir d’une intégration tierce appelée SalesLoft Drift et a utilisé les jetons pour télécharger de grands volumes de données à partir des instances Salesforce impactées. L’un des objectifs de l’attaquant était de trouver et d’extraire des informations d’identification supplémentaires stockées dans Salesforce Records qui pourraient étendre leur accès.
« Une fois les données exfiltrées, l’acteur a recherché les données pour rechercher des secrets qui pourraient être utilisés pour compromettre les environnements victimes », a déclaré le Google Threat Intelligence Group (GTIG) dans un avis. «GTIG a observé UNC6395 ciblant les informations d’identification sensibles telles que les clés d’accès Amazon Web Services (AWS) (AKIA), les mots de passe et les jetons d’accès liés aux flocons de neige.»
SalesLoft, une entreprise qui exploite une plate-forme d’orchestration des engagements et des revenus des ventes, a déjà identifié et informé les clients touchés qui ont lié leurs instances Salesforce avec l’outil de chat en direct SalesLoft Drift Ai. Bien que ces utilisateurs aient déjà eu leurs jetons d’authentification Salesforce invalidés, ils devraient immédiatement lancer des enquêtes internes pour déterminer les autres informations d’identification stockées dans leurs instances Salesforce auraient pu être compromises et si d’autres actifs externes ont été accessibles en conséquence.
Les intégrations SaaS-To-SAAS sont un angle mort de sécurité
OAuth fournit un moyen facile aux applications de s’authentifier les uns envers les autres et de nombreuses plates-formes profitent de ce mécanisme pour s’intégrer à d’autres services. Cependant, ces intégrations étendent la surface d’attaque devenant un point d’entrée potentiel supplémentaire.
SalesLoft a détecté l’activité non autorisée sur sa plate-forme de dérive le 20 août, mais l’abus de jetons OAuth pour accéder aux données Salesforce s’est produit entre le 8 et le 18 août. L’équipe de réponse aux incidents Mandiant de Google a noté que l’acteur de menace, qu’il suit sous le nom de UNC6395, a exporté de grands volumes de données à partir de «nombreuses instances Salesforce de l’entreprise».
Salesforce a noté que l’accès non autorisé n’a été causé par aucune vulnérabilité dans sa propre plate-forme et a supprimé la dérive de SalesLoft de son application en attente d’une enquête plus approfondie, en plus d’invalider les jetons d’accès touchés.
Les attaquants ont exécuté des requêtes SOQL pour récupérer des informations associées aux objets Salesforce tels que les cas, les comptes, les utilisateurs et les opportunités et pour en extraire des données, après quoi ils ont supprimé les travaux de requête. Cependant, les journaux n’ont pas été touchés, les organisations peuvent donc examiner leurs journaux pour déterminer quelles requêtes ont été exécutées et ce que les attaquants de données ont volé.
Ce que les utilisateurs de SalesLoft Drift devraient faire ensuite
Le rapport GTIG et les avis SalesLoft comprennent des indicateurs de compromis tels que les adresses IP utilisées par les attaquants et les chaînes d’agent utilisateur pour les outils qu’ils ont utilisés pour accéder aux données. Mandiant conseille aux entreprises de rechercher également les journaux de toutes les activités des nœuds de sortie TOR connus en plus des adresses IP énumérées dans les IOC et pour ouvrir un billet de support Salesforce pour recevoir une liste complète des requêtes exécutées par les attaquants.
Les organisations devraient rechercher leurs propres objets Salesforce pour toutes les informations d’identification stockées et devraient faire pivoter celles, en particulier celles contenant les termes Akia (AWS), Snowflake, mot de passe, secret et clé. Les chaînes liées aux URL de connexion organisationnelle, y compris les pages VPN et SSO, doivent également être recherchées. Un outil open source appelé trufflehog peut également être utilisé pour rechercher des données pour les secrets et les informations d’identification codés en dur.
BleepingComputer rapporte qu’un représentant du groupe d’extorsion Shinyhunters a affirmé qu’ils étaient à l’origine de l’attaque. Shinyhunters fonctionne depuis plusieurs années, étant responsable des violations signalées chez AT&T, Ticketmaster et d’autres organisations. Le groupe a déjà ciblé les comptes Snowflake et AWS, ainsi que les comptes Salesforce récemment dans une campagne Vishing impliquant de faux appels de soutien informatique.
