Hacker haben einen groß angelegten Angriff auf Salesforce-Umgebungen durchgeführt, indem sie gestohlene Zugriffstoken missbrauchten. Der Vorfall, der mit der Salesloft-Drift-Integration in Verbindung steht, verdeutlicht die wachsenden Risiken von Drittanbieter-Apps in Unternehmensplattformen.
Ablauf des Angriffs
Zwischen dem 8. und 18. August 2025 nutzte eine Bedrohungsgruppe namens UNC6395 kompromittierte OAuth-Token, um auf mehrere Salesforce-Instanzen zuzugreifen. Die Angreifer setzten automatisierte Abfragen ein, um sensible Informationen zu sammeln, und versuchten, ihre Spuren zu verwischen, indem sie Abfragejobs löschten.
Trotzdem blieben Systemprotokolle intakt, sodass Ermittler die Aktivitäten nachvollziehen konnten.
Anvisierte Daten
Die Angreifer versuchten, wertvolle Zugangsdaten und Geheimnisse zu exfiltrieren, darunter:
- AWS-Zugangsschlüssel
- Snowflake-Token
- Gespeicherte Passwörter und sensible Konfigurationsdetails
Diese Informationen könnten tiefere Einbrüche in Cloud-Umgebungen ermöglichen, die mit betroffenen Salesforce-Kunden verbunden sind.
Reaktion der Anbieter
Salesloft und Salesforce reagierten schnell, nachdem die Kampagne aufgedeckt wurde. Bis zum 20. August 2025 hatten sie alle aktiven Drift-Token widerrufen und die App aus dem Salesforce AppExchange entfernt.
Sicherheitsexperten rieten Organisationen zu:
- Rotation der in Salesforce gespeicherten Zugangsdaten.
- Überprüfung der Berechtigungen verbundener Apps.
- Entfernung sensibler Geheimnisse aus Salesforce-Objekten, wo immer möglich.
Mandiant und Googles Threat Intelligence Group überwachen die Situation weiterhin.
Breitere Auswirkungen
Der Vorfall unterstreicht die oft übersehenen Risiken OAuth-basierter Integrationen. Sobald Angreifer eine Drittanbieter-App kompromittieren, können sie Multi-Faktor-Authentifizierung umgehen und direkt auf Unternehmensplattformen zugreifen.
Wichtig ist: Salesforce selbst wurde nicht kompromittiert – das Problem ging ausschließlich von der kompromittierten Salesloft-Drift-Integration aus. Dennoch dient der Angriff als Erinnerung daran, dass jede Integration zu einem Schwachpunkt in der Sicherheit werden kann.
Fazit
Der Salesforce-Angriff mit gestohlenen Zugriffstoken zeigt, wie anfällig Drittanbieter-Integrationen Unternehmenssicherheit untergraben können. Stärkere Überwachung, regelmäßige Audits und strenge Zugriffskontrollen sind entscheidend, um Risiken zu begrenzen. Für Unternehmen, die auf SaaS-Plattformen angewiesen sind, ist die Botschaft klar: Sicherheit muss über den Kerndienst hinaus auch jede verbundene App umfassen.
0 Kommentare zu „Salesforce-Angriff nutzt gestohlene Zugriffstoken aus“