Salesforce advirtió sobre la detección de «actividad inusual» relacionada con las aplicaciones publicadas por Gainsight conectadas a la plataforma.
«Nuestra investigación indica que esta actividad puede haber permitido el acceso no autorizado a los datos de Salesforce de ciertos clientes a través de la conexión de la aplicación», dijo la compañía. dicho en un aviso.
La firma de servicios en la nube dijo que ha tomado la medida de revocar todos los tokens de acceso activo y actualización asociados con las aplicaciones publicadas por Gainsight conectadas a Salesforce. También eliminó temporalmente esas aplicaciones de AppExchange mientras continúa su investigación.
Salesforce no reveló cuántos clientes se vieron afectados por el incidente, pero dijo que les notificó.
«No hay indicios de que este problema se deba a alguna vulnerabilidad en la plataforma Salesforce», añadió la empresa. «La actividad parece estar relacionada con la conexión externa de la aplicación a Salesforce».
Por precaución, la aplicación Gainsight ha sido retirado temporalmente desde HubSpot Marketplace y el acceso al conector de Zendesk ha sido revocado. «Esto también puede afectar el acceso de Oauth para las conexiones de los clientes mientras se lleva a cabo la revisión», dijo Gainsight. «Hasta el momento no se ha observado ninguna actividad sospechosa relacionada con Hubspot».
En una publicación compartida en LinkedIn, Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GTIG), la describió como una «campaña emergente» dirigida a aplicaciones publicadas por Gainsight conectadas a Salesforce comprometiendo tokens OAuth de terceros para obtener potencialmente acceso no autorizado.
Se considera que la actividad está vinculada a actores de amenazas asociados con el grupo ShinyHunters (también conocido como UNC6240), lo que refleja un conjunto similar de ataques. apuntar a instancias de Salesloft Drift a principios de este agosto.
Según DataBreaches.Net, ShinyHunters tiene confirmado la campaña es obra suya y afirmó que las oleadas de ataques de Salesloft y Gainsight les permitieron robar datos de casi 1000 organizaciones.
Curiosamente, Gainsight anteriormente dicho también fue uno de los clientes de Salesloft Drift afectados por el ataque anterior. Pero no está claro en este momento si la infracción anterior jugó un papel en el incidente actual.
En ese hack, los atacantes accedieron a detalles de contacto comercial para contenido relacionado con Salesforce, incluidos nombres, direcciones de correo electrónico comerciales, números de teléfono, detalles regionales/ubicación, información de licencia de productos y contenidos de casos de soporte (sin archivos adjuntos).
«Los adversarios apuntan cada vez más a los tokens OAuth de integraciones SaaS de terceros confiables», Larsen señaló.
A la luz de la actividad maliciosa, se recomienda a las organizaciones que revisen todas las aplicaciones de terceros conectadas a Salesforce, revoquen tokens para aplicaciones sospechosas o no utilizadas y roten las credenciales si se detectan anomalías en una integración.
Fuente