Siber güvenlik satıcısı Palo Alto Networks, Salesforce ortamının tehlikeye atılmış bir Salesloft Drift entegrasyonu ile ihlal edildiğini açıkladı ve müşteri ilişkileri yönetim platformlarını hedefleyen bir dizi tedarik zinciri saldırısında en sonuncuyu işaretledi.
Palo Alto Networks’ten gelen bir açıklamaya göre, Salesloft’un satış katılımını kolaylaştırmak için yüzlerce kuruluş tarafından kullanılan sürüklenme uygulaması, 8 ve 18 Ağustos 2025 arasında OAuth kimlik bilgilerini etkileyen bir saldırı sağladı.
Tehdit aktörleri, Salesloft’un jetonları iptal etmeden ve sistemlerini güvence altına almadan önce, Palo Alto Networks de dahil olmak üzere bağlı Salesforce örneklerinden veri çıkarmak için bu kimlik bilgilerini kullandı.
Şirket, “Etkinliği öğrendiğimiz anda satıcıyı Salesforce ortamımızdan ayırdık ve ünite 42 güvenlik ekiplerimiz kapsamlı bir soruşturma başlattı” dedi.
Müfettişler uzlaşmanın CRM platformuna izole edildiğini belirlediler; “Hiçbir Palo Alto Networks ürünleri veya hizmetleri etkilenmedi ve güvenli ve tamamen operasyonel kalıyorlar.”
İhlal edilen veriler öncelikle iş iletişim bilgileri, dahili satış hesabı ayrıntıları ve temel vaka kayıtlarından oluşmaktadır.
Palo Alto Networks, yalnızca sınırlı sayıda müşterinin daha hassas verilere sahip olabileceğini ve bu müşterilere doğrudan resmi destek kanalları aracılığıyla bilgilendirildiğini vurguladı.
Şirket, “Endişeleriniz varsa veya ek desteğe ihtiyacınız varsa, ekiplerimiz Palo Alto Networks Müşteri Desteği aracılığıyla mevcuttur” diye ekledi.
Birim 42’nin analizi, olayı Salesloft Drift entegrasyonundan yararlanan daha geniş bir kampanyaya bağladı.
Salesforce nesnelerinden – hesap, temas, vaka ve fırsat gibi – kayıtları pespiltrat ettikten sonra, tehdit oyuncusu kitle veri hasatını gerçekleştirdi ve daha sonra kimlik bilgileri için çalınan bilgileri taradı. Saldırgan ayrıca faaliyetlerini gizlemek için SOQL sorgu günlüklerini sildi.
Salesloft, etkilenen tüm müşterilerin bilgilendirildiğini ve sürüklenme uygulaması için tüm aktif erişim ve yenileme jetonlarını proaktif bir şekilde iptal ettiğini ve etkilenen yöneticileri etkili bir şekilde yeniden kimin yetersiz kalmasına zorladığını doğruladı.
Palo Alto Networks, artan uyanıklığı korumak, hem Salesloft hem de Salesforce’dan güncellemeleri izlemek ve bir dizi acil yanıt eylemi uygulamak için sürüklenme entegrasyonunu kullanan diğer kuruluşları çağırıyor.
Temel öneriler şunları içerir:
- Kapsamlı Günlük İncelemesi: 8 Ağustos’tan günümüze Salesforce Giriş Geçmişlerini, Denetim İzlerini, API Erişim Günlüklerini ve UniqueQuery etkinliklerini inceleyin. Şüpheli kullanıcı ajanı dizeleri-özellikle “Python/3.11 AIOHTTP/3.12.15”-ve bilinen tehdit aktörleriyle bağlantılı olağandışı IP adreslerini arayın.
- Kimlik Bilgisi Döndürme: Maruz kalan sırları taramak için Trufflehog veya GitLeaks gibi otomatik araçları kullanın, ardından Salesforce API tuşları ve bağlı uygulama jetonları dahil olmak üzere tehlikeye atılan kimlik bilgilerini derhal döndürün.
- Ağ ve IDP İzleme: Salesforce’a anormal bağlantılar için ağ akışını ve proxy günlüklerini analiz edin ve yetkisiz kimlik doğrulama denemeleri için kimlik sağlayıcısı günlüklerini inceleyin.
Kuruluşlara ayrıca yanal hareketi azaltmak için en az ayrı erişim ve koşullu politikaların uygulanması için sıfır güven ilkelerini benimsemeleri önerilir.
Palo Alto Networks, ekiplerin istenmeyen iletişimlere şüpheci kalmasını ve her zaman resmi kanallar aracılığıyla hassas veri taleplerini doğrulamasını önerir.
Palo Alto Networks ve Ünite 42 durumu izlemeye devam edecek ve yeni gelişmeler ortaya çıkarsa tehdit özetini güncelleyecektir. Salesforce benzer şekilde müşterilere sürekli rehberlik ve kaynak sağlıyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.