研究者らは、ShinyHuntersがOAuthトークンを侵害し、顧客データへの潜在的なアクセスを得ていると警告しています。
Salesforceは、水曜日の夜に投稿したセキュリティアドバイザリによると、Gainsightというソフトウェア会社が公開した接続アプリケーションを使用して、顧客環境への不正アクセスが許可された可能性のある不審な活動を調査していると発表しました。(Salesforceが水曜日の夜に投稿したセキュリティアドバイザリによる)。
Salesforceは、このアプリの接続により、ハッカーが特定の顧客のSalesforceデータにアクセスできた可能性があると述べています。
これに対応し、SalesforceはGainsightが公開したSalesforceに接続されたアプリケーションに関連する「すべてのアクティブおよびリフレッシュトークンを無効化」しました。さらに、同社は一時的にこれらのアプリケーションをAppExchangeマーケットプレイスから削除しました。
Google Threat Intelligence Groupの研究者は、ShinyHuntersに関連するハッカーがOAuthトークンを侵害し、Salesforceの顧客インスタンスへの不正アクセスを得ているのを観測したと述べています。
「攻撃者は信頼されたサードパーティSaaS統合のOAuthトークンをますます標的にしています」とGTIGのプリンシパル脅威アナリストであるAustin Larsen氏はLinkedInの投稿で述べています。「最近ではSalesloft Driftを標的としたキャンペーンでこれを目撃し、そして今再び見ています。」
Salesloft Driftキャンペーンでは、ハッカーが数百の組織を標的とし、AIベースのアプリケーションを利用して、後続攻撃のための認証情報を収集しました。
SalesforceとGTIGのインシデント対応部門であるMandiantは、現在の脅威キャンペーンで影響を受けた可能性のある組織に通知しています。
Gainsightはカスタマーサポートの投稿で、トークンの無効化につながった問題を調査するためにSalesforceと協力していると述べました。
Salesforceは、Gainsightの活動がSalesforceプラットフォームの脆弱性に関連しているという兆候はないと述べています。
GTIGの研究者は、セキュリティチームは自社のSaaS環境を監査し、未使用または不審なアプリケーションのOAuthトークンを確認すべきだと述べています。異常な活動が見つかった場合、セキュリティチームは直ちに認証情報をローテーションすべきです。
GainsightおよびSalesforceの担当者はコメントに応じていません。
翻訳元: https://www.cybersecuritydive.com/news/salesforce-investigating-customer-connected-Gainsight/806093/
