Kurumsal Salesforce örneklerini hedefleyen gelişmiş bir veri açığa çıkma kampanyası, Salesloft Drift üçüncü taraf uygulamasıyla ilişkili tehlikeye atılmış OAuth jetonları aracılığıyla birden fazla kuruluştan hassas bilgileri ortaya çıkarmıştır.
UNC6395 olarak adlandırılan tehdit oyuncusu, 8-18 Ağustos 2025 arasında sistematik olarak kimlik bilgilerini ve hassas verileri hasat etti ve çok sayıda Salesforce nesnesinde SOQL sorguları yürütürken gelişmiş operasyonel güvenlik bilincini gösterdi.
Key Takeaways
1. UNC6395 used compromised Salesloft Drift OAuth tokens to access Salesforce instances .
2. Harvested AWS keys, Snowflake tokens, and passwords from Salesforce data.
3. All Drift tokens revoked; organizations must rotate credentials.
Kampanya, Salesforce örnekleri ile entegre üçüncü taraf uygulamalar arasındaki güven ilişkisini kullanan önemli bir tedarik zinciri saldırısı vektörünü temsil ediyor.
UNC6395, yetkisiz erişim elde etmek, geleneksel güvenlik kontrollerini atlamak ve tespiti özellikle etkilenen kuruluşlar için zorlayıcı hale getirmek için meşru OAuth kimlik doğrulama mekanizmalarından yararlanmıştır.
OAuth Token Sömürü
Google Tehdit İstihbarat Grubu, tehdit oyuncusunun, Salesloft Drift uygulamasından hedef Salesforce örneklerine karşı kimlik doğrulaması yapmak için tehlikeye atılmış OAuth erişim belirteçleri ve yenileme jetonlarını kullandığını bildirdi.
Bu saldırı vektörü, üçüncü taraf uygulamaların doğrudan kullanıcı kimlik bilgilerini açığa çıkarmadan Salesforce verilerine erişmesine izin veren OAuth 2.0 Yetkilendirme Çerçevesinden yararlandı.
UNC6395, durumlar, hesaplar, kullanıcılar ve fırsatlar dahil kritik Salesforce nesnelerinden verileri numaralandırmak ve çıkarmak için sistematik SOQL (Salesforce Nesne Sorgu Dili) sorguları yürütür.
Aktör, verim hacimlerini değerlendirmek için sayı sorguları çalıştırarak teknik gelişmişlik gösterdi:
Salesloft, saldırganın özellikle AWS erişim anahtarlarını (AKIA tanımlayıcıları), şifreleri, kar tanesi kimlik bilgilerini ve Salesforce özel alanları ve standart nesneler içinde saklanan diğer hassas kimlik doğrulama materyallerini hedeflediğini belirtti.
Exfiltrasyon sonrası analizi, aktörün, kimlik bilgisi formatlarını eşleştiren kalıplar için çıkarılan verileri aradığını ve geleneksel veri hırsızlığından ziyade kimlik bilgisi hasatının birincil hedefini gösterdi.
Mitigatonlar
Salesforce ve Salesloft, 20 Ağustos 2025’teki Drift uygulamasıyla ilişkili tüm aktif OAuth jetonlarını iptal ederek yanıt verdi ve saldırı vektörünü etkili bir şekilde sonlandırdı.
Drift uygulaması daha sonra kapsamlı bir güvenlik incelemesini bekleyen Salesforce AppExchange’den kaldırıldı.
Salesloft Drift entegrasyonunu kullanan kuruluşlar derhal çeşitli iyileştirme önlemleri uygulamalıdır.
Etkinlik izleme günlükleri, Drift bağlı uygulamayla ilişkili şüpheli benzersiz Query etkinlikleri ve kimlik doğrulama anomalileri için gözden geçirilmelidir.
Güvenlik ekipleri, Trufflehog gibi araçları kullanarak Salesforce nesnelerini maruz kalan sırlar için taramalı ve “Akia”, “SnowflakeComputing gibi desenleri arayın[.]com ”ve jenerik kimlik referansları.
Bağlı uygulama izinleri, kapsam kısıtlaması, IP adresi kısıtlamaları ve en az ayrıcalık ilkesinin uygulanması yoluyla derhal sertleşmeyi gerektirir.
“API etkinleştirilmiş” izni kullanıcı profillerinden kaldırılmalı ve yalnızca yetkili personele izin setleri yoluyla seçici olarak verilmelidir.
Oturum zaman aşımı yapılandırmaları, oturum ayarlarındaki konfigürasyonlar, uzlaşmış kimlik bilgileri için pozlama pencerelerini sınırlamak için optimize edilmelidir.
Bu olay, üçüncü taraf entegrasyonun sağlanmasının önemli önemini ve hassas kurumsal veri havuzlarına erişim ile OAuth özellikli uygulamaların sürekli izlenmesi gerekliliğini vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.