Hackere har gjennomført et storskala angrep mot Salesforce-miljøer ved å misbruke stjålne tilgangstoken. Bruddet, som knyttes til Salesloft Drift-integrasjonen, fremhever de økende risikoene ved tredjepartsapper i bedriftsplattformer.
Hvordan angrepet skjedde
Mellom 8. og 18. august 2025 brukte en trusselaktør kjent som UNC6395 kompromitterte OAuth-token for å få tilgang til flere Salesforce-instanser. Angriperne benyttet automatiserte spørringer for å samle inn sensitiv informasjon og forsøkte å dekke over sporene sine ved å slette spørringsjobber.
Til tross for dette forble systemlogger intakte, noe som gjorde det mulig for etterforskere å gjenskape aktiviteten.
Data som ble angrepet
Angriperne forsøkte å hente ut verdifulle legitimasjonsdata og hemmeligheter, inkludert:
- AWS-tilgangsnøkler
- Snowflake-token
- Lagrede passord og sensitive konfigurasjonsdetaljer
Denne informasjonen kunne gi mulighet for dypere innbrudd i skymiljøer tilknyttet berørte Salesforce-kunder.
Leverandørenes respons
Salesloft og Salesforce reagerte raskt etter å ha avdekket kampanjen. Innen 20. august 2025 hadde de tilbakekalt alle aktive Drift-token og fjernet appen fra Salesforce AppExchange.
Sikkerhetseksperter oppfordret organisasjoner til å:
- Rullere legitimasjonsdata lagret i Salesforce.
- Revidere tillatelser for tilkoblede apper.
- Fjerne hemmeligheter fra Salesforce-objekter der det er mulig.
Mandiant og Googles Threat Intelligence Group fortsetter å overvåke situasjonen.
Bredere konsekvenser
Hendelsen understreker de ofte oversette risikoene ved OAuth-baserte integrasjoner. Når angripere først kompromitterer en tredjepartsapp, kan de omgå multifaktorautentisering og få direkte tilgang til bedriftsplattformer.
Det er viktig å merke seg at selve Salesforce ikke ble kompromittert – problemet stammet utelukkende fra den kompromitterte Salesloft Drift-integrasjonen. Likevel fungerer angrepet som en påminnelse om at hver integrasjon kan bli et svakt punkt i sikkerheten.
Konklusjon
Salesforce-angrepet med stjålne tilgangstoken viser hvordan sårbare tredjepartsintegrasjoner kan undergrave bedrifters forsvar. Sterkere overvåking, jevnlige revisjoner og streng tilgangskontroll er avgjørende for å begrense risikoen. For selskaper som er avhengige av SaaS-plattformer, er budskapet klart: sikkerheten må omfatte ikke bare kjernetjenesten, men hver tilkoblet app.
0 responses to “Salesforce-angrep utnytter stjålne tilgangstoken”