遭受网络攻击重创，Salesforce面临信任危机与集体诉讼

对Salesforce客户而言，2025年是异常艰难的一年。ZDNET调查显示，这家CRM巨头本可以采取更多措施来保护其平台中在近期攻击中被利用的组件。

背负靶心的巨擘平台

一系列家喻户晓的企业报告称遭遇敏感客户数据大规模恶意外泄，随后收到加密货币勒索要求。虽然多家公司公开指出其Salesforce实例是攻击目标，但其他公司在披露中含糊地提及"第三方应用"。联邦调查局已就Salesforce账户遭攻击发布紧急警告，目前已有14家客户就此提起了诉讼。

Salesforce承认客户平台实例在近期攻击浪潮中成为目标，但声称"Salesforce平台未被入侵，此问题并非由技术漏洞导致"。

攻击手段的演变剖析

据AppOmni首席安全官Cory Michal介绍，攻击手法从2022年首次针对其他目标的钓鱼攻击逐步演变而来。攻击分为四个明显阶段：

初始钓鱼攻击

攻击者注册带有"-okta.com"的域名，建立与合法Okta登录页面极其相似的虚假网站，通过钓鱼邮件诱使用户登录。

语音钓鱼升级

在各方加强防御后，攻击演进为语音钓鱼。攻击者冒充IT人员致电潜在受害者，引导用户访问仿冒域名。

冒牌软件攻击

攻击者通过电话诱导Salesforce用户在其Salesforce组织中安装恶意应用。至少有一个恶意应用是DataLoader.io的恶意仿冒版——这是Salesforce生态中最受欢迎的插件之一。

黑客的"尾随"策略？

当运行某应用的服务器需要访问另一服务器资源时，双方通常通过API通信，后者会向前者发放称为OAuth令牌的特殊API访问凭证。如果应用运营方的基础设施遭入侵，攻击者获取部分或全部令牌，就可能访问对应的Salesforce资源。

8月初，被指定为UNC6345的攻击者"通过受损的Salesloft Drift第三方应用相关OAuth令牌，系统性地从大量企业Salesforce实例中导出大量数据"。

Salesforce可采取的技术补救措施

为防范恶意软件安装，Salesforce已调整策略：普通用户不再具备安装"未安装"应用的权限。只有组织管理员（应具备更多经验和权限）才能先行安装。

Salesforce还针对某些应用（如Data Loader）禁用了三个主要应用安装工作流之一，这些应用将不再自动安装到每个新配置的Salesforce组织中。

公司还敦促客户更好地利用平台的IP允许列表功能，例如要求所有用户从已知允许的IP地址范围连接。

IP地址白名单的可行性

Salesforce提供基于IP地址限制终端用户访问的功能，但默认未对Salesforce开发者生态中的第三方服务器应用实施相同限制。

Okta首席安全官David Bradbury透露，Salesforce确实具备将机器对机器OAuth认证限制到特定IP地址的功能，但这功能默认未激活，Salesforce也不主动管理IP白名单——责任落在了客户身上。

用DPoP、MTLS或FAPI保护OAuth

Okta威胁情报副总裁Brett Winterford指出了几种增强OAuth安全性的技术方案：

OAuth 2.0 DPoP：应用需向Salesforce证明其有权持有OAuth令牌，然后才被允许访问Salesforce资源。

OAuth 2.0 MTLS：涉及客户端和服务器端双向认证的OAuth扩展，确保只有持有对应私钥的一方才能使用令牌访问相关资源。

FAPI：基于OAuth 2.0框架的API安全配置文件，适用于保护高价值场景中的API。

然而，Salesforce目前似乎更专注于管理性补救措施，而非积极推行技术对策。尽管Salesforce于2025年9月7日恢复了对Salesloft主要应用的集成，但Drift应用在本文发布时仍处于断开状态。考虑到黑客的顽强表现和当前OAuth漏洞技术解决方案的缺失，可以安全地假设威胁行为者正在寻找下一个类似Salesloft的应用进行利用。