威胁信号报告
Salesloft Drift供应链攻击
攻击描述
被追踪为UNC6395的威胁行为者利用Salesloft Drift集成(一个与Salesforce和其他平台连接的SaaS AI聊天机器人工具)窃取OAuth和刷新令牌。这些令牌使他们能够绕过正常身份验证控制,无需直接入侵Salesforce账户即可获得目标环境访问权限。
攻击者随后系统性地从数十个(可能数百个)Salesforce客户实例中导出敏感凭证。被窃取的数据包括AWS访问密钥、Snowflake身份验证令牌、VPN凭据、密码和API密钥。
利用这些令牌,UNC6395不仅能够渗透Salesforce,还能入侵Google Workspace、Cloudflare、Zscaler、Palo Alto Networks和其他连接系统。这使得影响范围远超CRM数据,暴露了广泛的企业环境。
虽然最初报告表明漏洞仅限于Salesforce集成,但后续调查确认所有Salesloft Drift集成都应视为已遭入侵。
推荐缓解措施
- 审查安全公告:查看Salesloft公告和受此漏洞影响的其他合作伙伴公告
- 撤销和重新颁发令牌:立即断开并重新生成与Salesloft Drift及任何连接集成相关的所有令牌
- 审计和监控活动:审查Salesforce、Google Workspace和其他集成平台中的日志,查找异常数据导出、隐藏作业或可疑API调用的迹象
- 收紧集成权限:强制执行最小权限原则,限制API范围,并应用基于IP的访问控制以减少暴露
- 轮换所有暴露的密钥:替换已泄露或可能暴露的凭据,包括AWS密钥、Snowflake令牌、VPN账户和API令牌
- 防御网络钓鱼和冒充攻击:监控使用泄露联系数据针对员工或客户的社交工程尝试
FortiGuard防护覆盖
- FortiGuard Labs建议用户遵循最佳实践并实施零信任安全,确保影响最小化且敏感数据受到严格限制
- FortiGuard Labs阻止访问与此次活动相关的恶意域名、C2服务器或网络钓鱼站点
- FortiGuard Labs已阻止所有已知关联的威胁指标(IOC),团队持续监控新的IOC
- 怀疑遭受入侵的组织可以联系FortiGuard事件响应团队,获取快速调查和修复支持
额外资源
- Google威胁情报组
- Bleeping Computer
- Security Week
- Salesloft
发布日期:2025年9月2日
标签:威胁信号
类型:攻击