Salesloft Driftに関連する認証情報を利用したハッキングキャンペーンにより、大手サイバーセキュリティ企業の下流顧客を含む、ますます多くの企業が影響を受けています。
Palo Alto Networksは火曜日、Salesloft Driftのサプライチェーンインシデントの影響を受け、ハッカーが下流顧客のSalesforceデータにアクセスしたことを明らかにしました。
火曜日に公開されたブログ記事で、Palo Alto Networksは、侵害が自社の顧客関係管理プラットフォームに限定されており、ほとんどの情報はビジネス連絡先情報、社内の営業アカウント、基本的なケースデータであると述べています。
「当社は迅速にインシデントを封じ込め、Salesforce環境から当該アプリケーションを無効化しました」と広報担当者はCybersecurity Diveにメールで述べました。「Unit 42の調査により、この状況がPalo Alto Networksの製品、システム、サービスには影響しなかったことが確認されています。」
同社は、追加データにアクセスされた可能性がある場合には、限定的な数の顧客に直接連絡していると、ブログ記事で述べています。
Zscalerは、競合するサイバーセキュリティ企業であり、同じSalesloft Driftのサプライチェーン攻撃に起因する同様の侵害を以前に公表しています。土曜日に公開されたブログ記事によると、Zscalerはハッカーが名前、ビジネス用メールアドレス、電話番号、Zscaler製品のライセンス情報など、一般的に入手可能なビジネス連絡先データにアクセスしたと述べています。
「Zscaler自体は侵害されていません」と広報担当者はCybersecurity Diveに述べました。「インシデントの範囲はSalesforceの統合に限定されており、Zscalerの製品、サービス、システム、インフラには影響はありません。」
Zscalerは月曜日の更新で多くの顧客が影響を受けたと述べましたが、具体的な数は明らかにしませんでした。
Google Threat Intelligence Group(GTIG)の研究者は先月、UNC6395として追跡されている脅威アクターがSalesloft Driftに関連する侵害されたOAuthトークンを用いてSalesforceインスタンスを標的にしたハッキングキャンペーンを明らかにしました。
元々のハッキング活動は8月8日から8月18日まで行われましたが、調査により攻撃の範囲が当初考えられていたよりも広範囲であることが判明しました。
Googleの脅威研究者はMandiantのインシデント対応専門家と協力し、攻撃が数百の潜在的な標的を含んでいたことを発見し、Salesloft Driftの利用者に潜在的な侵害を想定するよう呼びかけました。 先週のブログ記事の更新で、GTIGはUNC6395のキャンペーンがSalesforceに限定されていないこと、そして「Driftプラットフォームに保存または接続されているすべての認証トークンを潜在的に侵害されたものとして扱うべきだ」と警告しました。
Salesforceは木曜日、調査が継続されている間Salesloft Driftとのすべての統合を無効化したと発表しました。
翻訳元: https://www.cybersecuritydive.com/news/palo-alto-networks-zscaler-supply-chain-attacks/758990/