Cloudflare Inc.とProofpoint Inc.は火曜日、それぞれがSalesloft Driftに関連する8月のサプライチェーン攻撃の影響を受けたことを公表しました。
これらの公表は、脅威アクターがSalesloft DriftのAIチャットボットに関連する認証情報を悪用し、数百社のSalesforceインスタンスにアクセスした一連の攻撃の最新事例となります。
Cloudflareは、先週、外部の攻撃者が自社のSalesforceインスタンス内のサポートケースのテキストフィールドにアクセスしたという通知を受けたと、火曜日に公開されたブログ記事で述べています。
より大規模なサプライチェーン攻撃の一部であったにもかかわらず、同社はこの侵害について全責任を負い、謝罪を表明しました。
「私たちは、事業運営のために使用するツールに責任を持っています」と、同社の幹部はブログ記事で述べています。「この点について、心よりお詫び申し上げます。」
このインシデントは、Palo Alto NetworksとZscalerによる、サプライチェーン攻撃によって自社のSalesforce環境が影響を受けたという公表に続くものです。
ブログ記事によると、攻撃者は8月9日に最初の偵察活動を行い、8月13日から17日の間に同社のSalesforceテナントからデータを盗みました。Cloudflareは「露出はSalesforceのケースオブジェクトに限定されていた」とし、これにはサポートケースに関連する連絡先情報、件名、実際のケースのやり取りが含まれると述べています。
同社は、侵害されたデータ内を検索した結果、104件のCloudflare APIトークンを発見したと述べています。これらのトークンに関連する不審な活動は確認されていませんが、念のため全てのトークンをローテーションしました。
また、データが侵害された顧客には通知を行いました。同社は、この侵害によってCloudflareのサービスやインフラストラクチャが侵害された事実はないと述べています。
Cloudflareは、これらのサポート対応時に顧客に秘密情報や認証情報、APIキーなどの機密情報の共有を求めることはありませんが、一部のトラブルシューティングケースでは機密情報がやり取りされる場合があると述べています。
Cloudflareは、脅威アクターのアクセスを遮断するためにDriftの連携を無効化し、フォレンジック分析を開始したとブログ記事で述べています。同社はまた、Salesforceとのサードパーティ連携を切断し、全てのサードパーティインターネットサービスおよびアカウントの認証情報をローテーションしました。
Proofpointは、ハッカーが自社のSalesforceテナントにアクセスし、インスタンスに保存されている情報を閲覧できたと、ブログ記事で述べています。同社は、もし機密データが不正利用またはアクセスされたことが判明した場合、顧客に連絡すると述べています。
Proofpointは、Driftアプリケーションも無効化し、自社のSalesforce環境から削除したと述べています。
Proofpointは、今回の攻撃が自社のソフトウェア、サービス、内部ネットワーク、顧客保護データに影響を与えた証拠はないと述べています。
最新情報をお届けします。Cybersecurity Diveの無料デイリーニュースレターを購読してください。
一方、Oktaは盗まれたトークンを使ったSalesforce環境へのアクセス試行を阻止できたと述べています。同社は、着信IP制限の強制によって攻撃を阻止できたと主張しており、火曜日に公開されたブログ記事で述べています。
翻訳元: https://www.cybersecuritydive.com/news/cloudflare-proofpoint-hackers-salesforce-instances/759126/