ShinyHuntersハッキンググループが、Gainsight連携を悪用してSalesforce顧客のインスタンスにアクセスし、新たなデータ窃取キャンペーンを開始しました。
インシデント発覚直後、SalesforceはGainsightアプリケーションに関連するすべてのアクティブなアクセスとトークンを無効化しました。また、調査のため一時的にこれらのアプリケーションをプラットフォームから削除しました。
「Salesforceは、Gainsightが公開したアプリケーションで異常な活動を確認しました。これらのアプリは顧客によって直接インストール・管理されています。調査によると、この活動によりアプリの接続を通じて一部顧客のSalesforceデータへの不正アクセスが可能になった可能性があります」とSalesforceは木曜日の朝に発表しました。
Salesforceは影響を受けた顧客に直接通知したとしていますが、影響を受けた組織数については明らかにしていません。その間、Salesforce経由でのGainsightへのアクセスは依然として利用できません。
木曜日の夕方、Gainsightは、攻撃によって侵害が確認された組織は3社のみであること、またSalesforceおよび第三者のフォレンジック企業とともに調査を進めていることを明らかにしました。
「第三者による正式なレポートと是正措置のガイダンスが発行される予定です。Gainsightはクリーンで安全なリセットを確保するため、Connected Appのパッケージ版への移行を検討しています。絶対的な保護を保証することはできませんが、完全に検証されるまでサービスは再開しません」と同社は述べています。
コネクタが再有効化される際には、再認証が必要となります。Gainsightによれば、侵害された各トークンは「単一の顧客に限定されていた」としていますが、すべての組織がGainsight連携用のキー、認証情報、証明書をローテーションするべきだとしています。
LinkedInの投稿で、Google Threat Intelligence Groupの主任脅威アナリストであるAustin Larsen氏は、Mandianがこの攻撃を調査しており、悪名高いShinyHuntersハッカーが関与していると述べました。
攻撃者は「第三者のOAuthトークンを侵害し、Salesforce顧客インスタンスへの不正アクセスを得ている可能性がある」とLarsen氏は述べています。
「攻撃者は信頼された第三者SaaS連携のOAuthトークンを標的とするケースが増えています。最近ではSalesloft Driftを狙ったキャンペーンがあり、今回も同様の事例です」と彼は付け加えました。
DataBreachesによると、ShinyHuntersはこの攻撃を認めています。このハッキンググループは、Salesforce顧客を標的とした複数のデータ流出キャンペーンの責任者であり、これまでに約1,000件の被害者が出ていると述べています。
Gainsight自身も、最近のキャンペーンで影響を受けた組織の一つであり、このキャンペーンでは第三者AIチャットボットSalesloft Driftとの連携を通じてSalesforce顧客が攻撃されました。
数百の組織が影響を受け、多数のセキュリティ企業も含まれていました。ハッカーは侵害されたOAuthトークンを使ってSalesforceインスタンスから大量のデータを流出させました。これらのトークンは、SalesloftのGitHubアカウントが侵害された後、DriftのAWSインスタンスから盗まれたものです。
翻訳元: https://www.securityweek.com/salesforce-instances-hacked-via-gainsight-integrations/
