全球三大网络安全巨头同时被黑

前情回顾·网络安全厂商威胁态势

• 超1.4万台Fortinet设备长期被黑客入侵，约1100台位于中国

• 网安巨头Palo Alto全球数千防火墙被攻陷：因开发低级错误造成零日漏洞

• Okta被黑溯源：系统设计曝重大漏洞，机器账号未做安全防护

• 网络巨头思科遭数据勒索：VPN访问权限被窃取，2.8GB数据泄露

安全内参9月4日消息，国际知名网络安全公司Palo Alto Networks、Cloudflare和Zscaler日前确认，其内部Salesforce实例在近期爆发的Salesforce–Salesloft Drift数据窃取行动中遭到黑客入侵。

Salesforce插件被黑引爆供应链危机

据悉，在8月8日至8月18日期间，黑客利用已被攻陷的第三方AI聊天机器人Salesloft Drift的OAuth令牌，从数百家组织的Salesforce实例中导出大量数据。

此次行动幕后的威胁行为者被谷歌追踪编号为UNC6395、Cloudflare追踪编号为GRUB1。其行动目标是窃取凭证及其他敏感信息，包括AWS访问密钥、密码及与Snowflake相关的访问令牌。

该行动于8月26日被公开，随后Salesforce禁用了与Salesloft的所有集成，而Salesloft则下线了Drift，以进行审查并增强其防护能力。

尽管最初的报告显示，只有使用Drift–Salesforce集成的组织受到影响，但谷歌威胁情报小组（GTIG）在8月28日披露，Google Workspace客户也同样受到波及。

9月2日，Palo Alto Networks、Cloudflare和Zscaler确认，它们是此次行动中Salesforce实例遭入侵的数百家组织之一。

三大网安巨头同时被黑

Palo Alto Networks表示：“Palo Alto Networks确认自己是此次受影响的数百家客户之一。这是一场针对Salesloft Drift应用的大规模供应链攻击，导致Salesforce数据泄露。我们已迅速控制事件，并在我们的Salesforce环境中禁用了该应用。”

该公司补充称：“攻击者主要窃取了业务联系信息和相关账号数据，以及内部销售账号记录和基础案例数据。我们正在直接通知所有受影响客户。”

在一份关于此次攻击的详细报告中，Cloudflare表示，黑客窃取了客户联系信息和基础支持案例数据，这可能暴露客户配置以及日志、令牌和密码等敏感信息。

Cloudflare指出：“作为事件应对的一部分，我们对被窃取的数据进行了自查，重点排查令牌和密码，并发现了104个Cloudflare API令牌。虽然未发现这些令牌存在可疑使用行为，但出于高度谨慎，我们已全部轮换。”

调查结果显示，黑客通过Salesloft集成凭证访问了其Salesforce实例，连续数天进行侦察查询，并于8月17日发起一次Salesforce Bulk API 2.0任务，仅在大约3分钟内就窃取了一份数据库。

Zscaler则表示，从其Salesforce实例中被盗的客户数据包括姓名、商务邮箱地址、电话号码、职位、位置信息、授权信息，以及部分支持案例中的明文内容。

Cloudflare总结称：“我们认为此次事件并非孤立，而是威胁行为者有计划地收集凭证和客户信息，以便在未来发动攻击。鉴于有数百家组织因Drift遭攻陷而受影响，我们怀疑该威胁行为者将利用这些信息，对受影响组织的客户展开定向攻击。”

参考资料：https://www.securityweek.com/security-firms-hit-by-salesforce-salesloft-drift-breach/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。