揭秘SaaS攻击新趋势:绕过密码,直接劫持OAuth令牌
谷歌警告称,近期被归因于威胁组织UNC6395的Salesloft OAuth数据泄露事件,其影响范围并不仅限于最初报道的Salesforce。相反,此次攻击影响了所有通过OAuth连接到Salesloft的第三方SaaS集成,从而极大地扩展了潜在的影响半径。
在2025年8月8日至18日期间,攻击者窃取并滥用了来自Salesloft和Drift的OAuth令牌,从而获得了对客户CRM、电子邮件系统和通信平台的持久未授权访问。这次攻击活动反映了一种日益增长的模式:攻击者正从窃取密码转向劫持OAuth令牌,瞄准了支撑现代SaaS生态系统的信任链。
漏洞技术剖析
攻击向量:OAuth令牌劫持
- OAuth令牌允许SaaS应用(如Salesloft、Drift、Salesforce)在无需重复输入密码的情况下进行连接。
- 一旦令牌被攻破,攻击者将获得与合法应用同等的API级别访问权限。
- 令牌通常具有长生命周期,这使得它们对于维持攻击持久性极具价值。
红队示例: 攻击者窃取有效的OAuth令牌后,可以执行以下操作:
|
|
→ 无需MFA或密码即可获取所有用户邮件。
影响范围超出Salesforce
- Salesforce最初因发现可疑的API活动而禁用了Salesloft集成。
- 谷歌随后确认,任何通过OAuth连接到Salesloft的平台——包括Google Workspace、微软服务、CRM和消息平台——都可能已暴露。
Drift被利用的关联
- 同一攻击活动还在8月8日至18日期间利用了通信SaaS服务Drift。
- 这指向了一场通过OAuth信任链针对SaaS生态系统的、有组织的供应链攻击活动。
现实世界攻击场景
场景一:通过OAuth令牌实施商业邮件入侵
- 攻击者使用从Salesloft窃取的OAuth令牌 → 获得对Gmail/Outlook邮箱的API访问权限。
- 他们设置收件箱转发规则:
|
|
→ 静默窃取所有客户邮件。
场景二:CRM数据窃取
- 利用与Salesforce集成的OAuth令牌,攻击者查询客户管道数据。
- 被窃取的数据包括潜在客户、合同和客户联系列表 → 这些数据在黑市上出售或用于鱼叉式网络钓鱼。
场景三:在云端保持持久访问
- 即使用户更改了密码,OAuth令牌在明确撤销前仍然有效。
- 攻击者在初始入侵后,仍能长期维持隐蔽访问。
事件教训
- OAuth成为新的攻击面。 令牌授予的API访问权限相当于完整的登录会话,但很少受到监控。
- 供应链盲点。 像Salesloft这样的集成将多个SaaS平台连接在一起,产生了连锁风险。
- 检测缺口。 许多企业记录用户登录,但未能监控基于API的OAuth访问。
防御建议
针对企业
- 审计集成 — 审查所有连接到Salesloft和Drift的SaaS OAuth连接。
- 撤销并轮换令牌 — 立即撤销8月8日至18日期间存在的OAuth令牌,并强制重新认证。
- 监控API活动 — 标记异常的API调用(例如,大量邮件导出、CRM数据拉取)。
- 使用短期令牌 — 配置具有有限生命周期和刷新策略的OAuth令牌。
- 条件访问策略 — 对令牌使用要求设备安全状况或基于IP的限制。
针对SaaS供应商
- 内置令牌过期机制 — 强制执行具有持续验证功能的短期令牌。
- 精细化权限范围 — 最小化令牌权限(遵循最小权限原则)。
- 撤销API — 为客户提供易于使用的工具来撤销OAuth授权。
- 行为分析 — 检测令牌使用方式是否与正常应用行为不一致。
结论
Salesloft OAuth泄露事件凸显了当今SaaS信任链的脆弱性。通过窃取单个令牌,攻击者就能绕过MFA、密码和用户意识——直接访问跨多个连接平台的企业数据。 UNC6395的攻击活动证明,OAuth令牌劫持已成为新的凭证窃取手段。如果没有更好的治理、监控和架构,OAuth漏洞可能成为SaaS领域下一个类似SolarWinds级别的供应链问题。
作者:Mike Stevens,信息安全专家,目前从事风险基础设施专家和调查员工作。在风险控制流程、安全审计支持、业务连续性设计和支持、工作组管理以及信息安全标准方面拥有15年经验。