Mi történt pontosan?
A támadás során főként üzleti kapcsolattartási adatok, fiókinformációk, értékesítési anyagok és alapvető támogatási esethozzáférések szivárogtak ki, több száz más vállalathoz hasonlóan. Lényeges szempont, hogy a Palo Alto Networks termékeihez, rendszereihez vagy szolgáltatásaihoz nem jutottak be. A cég gyorsan megszüntette a veszélyforrást a Salesforce-ból, és minden érintettet közvetlenül tájékoztatott.
Bár sok ügyfél aggódott az érzékeny információk, például jelszavak vagy IT-részletek kiszivárgása miatt, a vállalat mindenkit megnyugtatott, hogy a támogatási esetekből csak kapcsolattartási adatokat és szöveges megjegyzéseket tudtak kimenteni, technikai fájlokhoz és mellékletekhez nem fértek hozzá.
Mit kerestek a támadók?
A támadássorozat során a hackerek különféle Salesforce-objektumokat pásztáztak végig, például Account, Contact, Case és Opportunity rekordokat. Ezekből az volt a céljuk, hogy olyan kulcsadatokat – például AWS-kulcsokat, Snowflake-tokeneket, VPN- és SSO-belépési információkat vagy akár egyszerű jelszavakat – szerezzenek, amelyekkel további felhőszolgáltatásokba is bejuthatnak, és onnan adatokat lophatnak el. A kibertámadók automatizált, Python-alapú szoftvereket használtak, mint például a python-requests/2.32.4, Python/3.11 vagy a Salesforce-CLI/1.0 programokat. A nyomokat eltüntették, és a Tor-hálózaton keresztül rejtőzködtek.
Hogyan reagált a Palo Alto Networks?
A vállalat érvénytelenítette a kompromittált tokeneket, megváltoztatta a hozzáférési adatokat, és ajánlásokat adott minden ügyfelének: vizsgálják át Salesforce- és hálózati naplóikat, ellenőrizzék a Drift-integrációkat, töröljék a veszélybe került hitelesítési adatokat, és alkalmazzanak automatikus szkennereket, például TruffleHogot vagy Gitleaks-et, hogy elkerüljék a beágyazott kulcsok további kiszivárgását. Minden kiderült biztonsági rést mihamarabb orvosolni kell.
Tágabb összefüggések
Ez a támadás is része annak a mostani hullámnak, amely során olyan csoportok, mint a ShinyHunters, kifejezetten nagyvállalati Salesforce-alkalmazásokat céloznak, néha hangalapú adathalászattal (vishing), máskor ellátási lánc sérülékenységeket kihasználva. Itt most az OAuth tokenek ellopásával sikerült adatokat megszerezni, pedig korábban trükkösen próbáltak rosszindulatú alkalmazásokat becsatlakoztatni a rendszerbe.
Egyes kutatók szerint ugyanazok a támadók, akik a Salesloft ellátási lánc támadást végrehajtották, felelősek több, idén történt nagyobb adatlopásért is, például az LVMH egyes leányvállalatainál. A Google azonban egyelőre nem talált bizonyítékot erre az összefüggésre. Az viszont biztos: az ellátási lánc sérülékenységek immár a világ legnagyobb kiberbiztonsági cégeit sem kímélik.
