Salesforce-attack utnyttjar stulna åtkomsttoken

Salesforce-attack utnyttjar stulna åtkomsttoken

Hackare har genomfört en storskalig attack mot Salesforce-miljöer genom att missbruka stulna åtkomsttoken. Intrånget, som kopplas till Salesloft Drift-integrationen, belyser de växande riskerna med tredjepartsappar i företagsplattformar.

Hur attacken gick till

Mellan den 8 och 18 augusti 2025 använde en hotaktör, känd som UNC6395, komprometterade OAuth-token för att få tillgång till flera Salesforce-instanser. Angriparna använde automatiserade frågor för att samla in känslig information och försökte dölja sina spår genom att radera frågejobb.

Trots detta förblev systemloggar intakta, vilket gjorde det möjligt för utredare att återskapa aktiviteten.

Data som attackerades

Angriparna försökte exfiltrera värdefulla autentiseringsuppgifter och hemligheter, inklusive:

  • AWS-åtkomstnycklar
  • Snowflake-token
  • Lagrade lösenord och känsliga konfigurationsuppgifter

Denna information kan möjliggöra djupare intrång i molnmiljöer kopplade till drabbade Salesforce-kunder.

Leverantörernas respons

Salesloft och Salesforce agerade snabbt efter att kampanjen avslöjats. Den 20 augusti 2025 hade alla aktiva Drift-token återkallats och appen tagits bort från Salesforce AppExchange.

Säkerhetsexperter uppmanade organisationer att:

  • Rotera autentiseringsuppgifter som lagras i Salesforce.
  • Granska behörigheter för anslutna appar.
  • Ta bort hemligheter från Salesforce-objekt där det är möjligt.

Mandiant och Googles Threat Intelligence Group fortsätter att övervaka situationen.

Bredare konsekvenser

Incidenten understryker de förbisedda riskerna med OAuth-baserade integrationer. När angripare väl komprometterar en tredjepartsapp kan de kringgå multifaktorautentisering och få direkt åtkomst till företagsplattformar.

Det är viktigt att notera att Salesforce i sig inte komprometterades – problemet uppstod helt från den komprometterade Salesloft Drift-integrationen. Ändå fungerar attacken som en påminnelse om att varje integration kan bli en svag punkt i säkerheten.

Slutsats

Salesforce-attacken med stulna åtkomsttoken visar hur sårbara tredjepartsintegrationer kan undergräva företagsförsvar. Starkare övervakning, regelbundna granskningar och strikt åtkomstkontroll är avgörande för att minska riskerna. För företag som förlitar sig på SaaS-plattformar är budskapet tydligt: säkerheten måste omfatta inte bara kärntjänsten, utan varje ansluten app.

Siyana Georgieva

0 svar till ”Salesforce-attack utnyttjar stulna åtkomsttoken”