Salesforce dijo que está investigando actividades sospechosas que pueden haber permitido el acceso no autorizado a los entornos de los clientes utilizando aplicaciones conectadas publicadas por una empresa de software llamada Gainsight. según un aviso de seguridad que Salesforce publicó el miércoles por la noche.
Salesforce dijo que la conexión de la aplicación pudo haber permitido a los piratas informáticos obtener acceso a los datos de Salesforce de ciertos clientes.
En respuesta, Salesforce ha “revocado todos los tokens activos y de actualización” vinculados a las aplicaciones publicadas por Gainsight que están conectadas a Salesforce. Además, la empresa eliminó temporalmente las aplicaciones de su mercado AppExchange.
Los investigadores de Google Threat Intelligence Group dijeron que habían observado piratas informáticos vinculados a ShinyHunters comprometiendo tokens OAuth para obtener potencialmente acceso no autorizado a instancias de clientes de Salesforce.
«Los adversarios apuntan cada vez más a los tokens OAuth de integraciones SaaS de terceros confiables», dijo Austin Larsen, analista principal de amenazas de GTIG. dijo en una publicación de LinkedIn. «Vimos esto recientemente con la campaña dirigida a Salesloft Drift, y lo estamos viendo nuevamente ahora».
Durante la campaña Salesloft Drift, los piratas informáticos apuntó a cientos de organizaciones utilizando la aplicación basada en IA para recopilar credenciales para posibles ataques posteriores.
Salesforce y Mandiant, la unidad de respuesta a incidentes de GTIG, están notificando a las organizaciones que pueden haber sido afectadas por la actual campaña de amenazas. Un portavoz de GTIG confirmó con Cybersecurity Dive que es posible que se hayan visto afectadas más de 200 instancias durante la campaña actual. Cyberscoop informó anteriormente la figura concreta.
Gainsight dijo en una publicación de atención al cliente que estaba trabajando con Salesforce para investigar los problemas que llevaron a la revocación de los tokens.
Salesforce dijo que no hay indicios de que la actividad de Gainsight esté relacionada con una vulnerabilidad en la plataforma Salesforce. Un portavoz de Salesforce confirmó que la campaña parece estar relacionada con la conexión externa de la aplicación Gainsight a Salesforce.
Salesforce publicará actualizaciones adicionales sobre la investigación, así como orientación para los clientes en su sitio Trust, añadió el portavoz.
Los investigadores de GTIG dijeron que los equipos de seguridad deberían auditar sus entornos SaaS y revisar los tokens OAuth en busca de aplicaciones sospechosas o no utilizadas. Si se encuentra alguna actividad inusual, los equipos de seguridad deben rotar las credenciales de inmediato.
Los representantes de Gainsight no estuvieron disponibles para hacer comentarios.
Nota del editor: Actualizaciones con información adicional de GTIG y Salesforce.
Fuente