Salesloftは、Driftのサプライチェーン攻撃の根本原因を、脅威グループが3月までさかのぼって同社のGitHubアカウントにアクセスしたことにあると特定したと、土曜日の更新情報で発表しました。
8月中旬の10日間にわたり、脅威グループは数百の組織からデータを侵害し、盗み出しました。
GoogleがUNC6395として追跡しているこの脅威グループは、Salesloftによると、6月までの数か月間にわたりSalesloftのアプリケーション環境に潜伏し、複数のリポジトリからコンテンツをダウンロードし、ゲストユーザーを追加し、ワークフローを設定していました。
「その後、脅威アクターはDriftのAmazon Web Services環境にアクセスし、Drift顧客のテクノロジー統合用OAuthトークンを取得しました」と同社は述べています。「脅威アクターは盗まれたOAuthトークンを使用して、Driftの統合経由でデータにアクセスしました。」
この更新は、Googleのセキュリティ研究者が先月「広範なデータ窃盗キャンペーン」について最初に警告して以来、Salesloftが共有した中で最も重要な詳細となります。同社は依然として主要な詳細を伏せており、インシデント対応会社Mandiantがフォレンジック調査の質を確認する段階に移行しています。
Salesloftは、どのようにしてGitHubアカウントにアクセスされたのか、攻撃者が環境内で何をしたのか、また脅威グループがどのようにDriftのAWS環境にアクセスしOAuthトークンを取得したのかについて説明していません。同社はまた、なぜOAuthトークンがクラウド環境に保存されていたのか、盗まれたOAuthトークンがサードパーティプラットフォームとの内部統合用だったのか、それとも顧客の個別統合用OAuthトークンだったのかについても説明していません。
同社は、攻撃のニュースが最初に報じられた8月26日以降、複数回のコメント要請に応じていません。
アナリストや研究者は、Salesloftが何が問題だったのかについて決定的な答えをまだ探している可能性があると認めつつも、同社は誤って被害範囲がSalesforceと統合されたDrift顧客インスタンスに限定されていると主張した際に、すでに誤った対応をしたと指摘しています。その数日後、Google Cloudのインシデント対応会社Mandiantは、Salesloft Driftの顧客が大規模に侵害され、AIチャットエージェントプラットフォームを他のサードパーティサービスと統合したすべてのユーザーが被害に遭った可能性があると述べました。
「彼らは完全に透明とは言えません。まだ何かを隠しています」とForresterのシニアアナリスト、パディ・ハリントン氏は述べています。
これまでのSalesloftのインシデント後の調査は、同社のセキュリティ実践や管理が明らかに十分でなかった複数の領域を浮き彫りにしていると、ハリントン氏は述べています。
DarktraceのセキュリティおよびAI戦略担当VP、ナサニエル・ジョーンズ氏は、調査が完了したらさらなる情報が共有されることを期待していると述べました。「彼らは侵害とその波及効果を認めましたが、攻撃者がどのように侵入したかについては明言を避けています」と彼は付け加えました。
「彼らはDrift環境を隔離し、オフラインにし、認証情報をローテーションし、封じ込めを強調しました。これはすべて良い対応です」とジョーンズ氏は述べました。
Salesloftは金曜日にDriftをオフラインにし、この措置は「アプリケーションおよび関連インフラのセキュリティ強化のための一時的なもの」と説明しました。SalesloftはOAuthユーザー向けの全ての集中管理キーをローテーションしましたが、APIキーを通じてサードパーティアプリケーションとDriftを接続している顧客は、既存のキーをサードパーティプロバイダーのアプリケーションで直接取り消す必要があると同社は述べています。
Mandiantによると、Salesloftプラットフォームは技術的にDriftから分離され、侵害されていないことが確認されており、同社は日曜日にSalesforceとの接続を復旧したと述べました。
SalesloftはDriftがいつ復旧し、再びオンラインになるかは分からないとしています。しかし、同社は、侵害による被害の余波や未だに不明な影響がDriftの評判に傷を残している中で、信頼回復のために大きな変革が必要かもしれません。
「おそらくあの製品名は変えなければならないでしょう。名前だけで完全に汚染されてしまいました」とハリントン氏は述べました。「製品を再導入することはできるでしょうが、完全な再設計について説明しなければなりません。」
攻撃がどのように発生したかについての重要な詳細は依然として不明であり、顧客はサプライチェーン攻撃の真の範囲や盗まれたデータの規模を理解する必要があると、彼は付け加えました。
「今は攻撃者が最も防御の薄い資産を見つけて狙う時代です。そして今回はまさに大当たりを引いた。まったく、とんでもない大当たりです」とハリントン氏は述べました。「この事態はどんどん悪化するばかりです。」
翻訳元: https://cyberscoop.com/salesloft-drift-attack-root-cause-github-oauth/