Hackere har gennemført et storstilet angreb mod Salesforce-miljøer ved at misbruge stjålne adgangstokens. Bruddet, der knyttes til Salesloft Drift-integrationen, fremhæver de voksende risici ved tredjepartsapps i virksomhedsplatforme.
Hvordan angrebet forløb
Mellem den 8. og 18. august 2025 brugte en trusselsgruppe kendt som UNC6395 kompromitterede OAuth-tokens til at få adgang til flere Salesforce-instanser. Angriberne benyttede automatiserede forespørgsler til at indsamle følsomme oplysninger og forsøgte at skjule deres spor ved at slette forespørgselsjob.
På trods af dette forblev systemloggene intakte, hvilket gjorde det muligt for efterforskere at genskabe aktiviteten.
Data målrettet i angrebet
Angriberne forsøgte at hente værdifulde legitimationsoplysninger og hemmeligheder, herunder:
- AWS-adgangsnøgler
- Snowflake-tokens
- Gemte adgangskoder og følsomme konfigurationsoplysninger
Disse oplysninger kunne muliggøre dybere brud i cloud-miljøer tilknyttet de berørte Salesforce-kunder.
Leverandørernes respons
Salesloft og Salesforce reagerede hurtigt efter at have afdækket kampagnen. Den 20. august 2025 havde de tilbagekaldt alle aktive Drift-tokens og fjernet appen fra Salesforce AppExchange.
Sikkerhedseksperter opfordrede organisationer til at:
- Rullere legitimationsoplysninger, der er gemt i Salesforce.
- Gennemgå tilladelser for tilkoblede apps.
- Fjerne hemmeligheder fra Salesforce-objekter, hvor det er muligt.
Mandiant og Googles Threat Intelligence Group fortsætter med at overvåge situationen.
Bredere konsekvenser
Denne hændelse understreger de ofte oversete risici ved OAuth-baserede integrationer. Når angribere først kompromitterer en tredjepartsapp, kan de omgå multifaktorgodkendelse og få direkte adgang til virksomhedsplatforme.
Det er vigtigt at bemærke, at selve Salesforce ikke blev kompromitteret – problemet stammede udelukkende fra den kompromitterede Salesloft Drift-integration. Alligevel tjener angrebet som en påmindelse om, at hver integration kan blive et svagt led i sikkerheden.
Konklusion
Salesforce-angrebet med stjålne adgangstokens viser, hvordan sårbare tredjepartsintegrationer kan underminere virksomheders forsvar. Stærkere overvågning, regelmæssige revisioner og streng adgangskontrol er afgørende for at reducere risiciene. For virksomheder, der er afhængige af SaaS-platforme, er budskabet klart: sikkerheden skal dække ikke kun kerneydelsen, men også hver tilkoblet app.
0 svar til “Salesforce-angreb udnytter stjålne adgangstokens”