Angriff auf Salesloft Drift zieht immer weitere Kreise
Nachdem Hacker Authentifizierungstoken von Salesloft Drift gestohlen haben, sollten die Nutzer der Plattform sofort Gegenmaßnahmen einleiten, um Angriffe auf ihr Salesforce-CRM zu verhindern. Neben Google gehören auch einige bekannte Sicherheitsanbieter zu den Opfern und raten ihren Kunden schnell zu Handeln.
Cyberkriminelle haben bei einem Hackerangriff auf die zu Salesloft gehörende Firma Drift Authentifizierungstoken entwendet, mit denen sie nun wiederum Daten aus Salesforce-CRM-Systemen der betroffenen Drift-Kunden zu stehlen versuchen. Die Liste der von den weitreichenden Attacken betroffenen Opfer wird immer länger und umfasst laut den bisher veröffentlichten Angaben unter anderem eine Reihe bekannter Cybersicherheitsanbieter. Bisher haben Tanium, Zscaler, Palo Alto Networks, Cloudflare und SpyCloud bekannt gegeben, dass sie von den Angriffen betroffen waren. Experten gehen allerdings davon aus, dass die Liste deutlich länger sein dürfte und rechnen deshalb in den nächsten Tagen mit weiteren Meldungen.
Mit Okta berichtet zudem ein weiterer Security-Anbieter von einem entsprechenden Angriffsversuch über Salesloft Drift, der allerdings vereitelt worden sei. Der Anbieter von Identitätssicherheitslösungen erklärte dazu am Dienstag, dass einige nach früheren Sicherheitsverletzungen in den Jahren 2022 und 2023 implementierten Sicherheitsmaßnahmen dabei geholfen hätten, die Angreifer abzuwehren. Zu diesen Maßnahmen gehörte etwa die Durchsetzung von Beschränkungen für eingehende IP-Adressen bei Salesforce, "wodurch der unbefugte Zutrittsversuch schon an der Eingangstür blockiert wurde, noch bevor ein Zugriff möglich war", erklärte Okta in seinem Beitrag am Dienstag. "Der Angreifer versuchte, mit einem kompromittierten Token auf unsere Salesforce-Instanz zuzugreifen, aber der Angriff schlug fehl, da die Verbindung von einer nicht autorisierten IP-Adresse ausging", so das Unternehmen weiter.
So schützen sich Nutzer von Salesloft Drift vor den Angriffen
Die Salesloft-Drift-Kampagne war erstmals am 26. August von der Google Threat Intelligence Group veröffentlicht worden. Wie das Unternehmen weiter mitteilte, gehörte es auch selbst zu den Opfern. Demnach hatte ein Angreifer bereits am 9. August gestohlene Tokens verwendet, um "auf die E-Mails einer sehr kleinen Anzahl von Google Workspace-Konten zuzugreifen". Nach bisherigen Informationen von Google sollen die Angriffe von einer als UNC6395 Gruppe ausgehen, die seine Sicherheitsforscher schon länger verfolgen. Diese habe die Tokens offenbar zwischen dem 8. und 18. August entwendet.
Um sich vor der laufenden Angriffswelle zu schützen, müssen die Nutzer der Plattform dringen reagieren. "Wir raten nun allen Salesloft Drift-Kunden, alle in der Drift-Plattform gespeicherten oder mit dieser verbundenen Authentifizierungstoken als potenziell kompromittiert zu betrachten", erklärte die Google Threat Intelligence Group in ihrem Beitrag. "Wir empfehlen Unternehmen, unverzüglich Maßnahmen zu ergreifen, um alle mit ihrer Drift-Instanz verbundenen Integrationen von Drittanbietern zu überprüfen, die Anmeldedaten für diese Anwendungen zu widerrufen und zu rotieren und alle verbundenen Systeme auf Anzeichen für unbefugten Zugriff zu untersuchen."
Informationen zu den Salesloft-Drift-Angriffen auf Tanium, Zscaler, SpyCloud, Palo Alto Networks und Cloudflare
Im Folgenden finden Sie Details zu Angriffen auf die fünf Cybersicherheitsanbieter, die bisher eingeräumt haben, von der Salesloft Drift-Sicherheitsverletzung betroffen gewesen zu sein. Neben Informationen zu den möglicherweise betroffenen Daten geben auch sie teilweise dringende Handlungsempfehlungen an ihre Kunden weiter:
Tanium
In einer am 28. August online veröffentlichten Mitteilung erklärte Tanium, dass es "kürzlich darüber informiert wurde, dass die Angreifer Tanium-Anmeldedaten von Salesloft Drift erlangt hatten und möglicherweise Zugriff auf die Salesforce-Daten von Tanium hatten".
Die Untersuchungen des Unternehmens ergaben demnach, dass "die Angreifer nur eingeschränkten Zugriff auf unsere Salesforce-Daten hatten und die Auswirkungen ihres unbefugten Zugriffs über Salesloft Drift auf Salesforce beschränkt und keine anderen Tanium-Systeme betroffen waren", so Tanium.
Die betroffenen Kundendaten beschränkten sich "hauptsächlich" auf allgemeine geschäftliche Kontaktinformationen wie Namen, geschäftliche E-Mail-Adressen, Telefonnummern und regionale/standortbezogene Angaben, so das Unternehmen.
"Darüber hinaus können wir definitiv bestätigen, dass sich der unbefugte Zugriff auf unsere Salesforce-Daten beschränkte und kein Zugriff auf die Tanium-Plattform oder andere interne Systeme oder Ressourcen stattfand", betonte der Anbieter.
Die Details zu den Angriffen auf Zscaler, Palo Alto Networks, Cloudflare und SpyCloud haben wir auf der nächsten Seite zusammengefasst.
Zscaler
In einer Mitteilung vom 30. August gab Zscaler bekannt, dass "unbefugte Akteure im Zusammenhang mit der Kampagne Zugriff auf die Anmeldedaten von Salesloft Drift erlangt haben, darunter auch Zscaler".
Der Verstoß "ermöglichte begrenzten Zugriff auf einige Zscaler Salesforce-Informationen", so Zscaler. Die Kompromittierung habe sich jedoch auf "allgemein verfügbare geschäftliche Kontaktdaten" wie Namen, E-Mail-Adressen, Telefonnummern und Standortangaben beschränkt, teilte das Unternehmen mit.
"Der Umfang des Vorfalls beschränkt sich auf Salesforce und umfasst keinen Zugriff auf Produkte, Dienstleistungen oder zugrunde liegende Systeme und Infrastruktur von Zscaler", erklärte Zscaler in seiner Mitteilung.
SpyCloud
Der Anbieter von Identitäts-Bedrohungsschutz SpyCloud räumte am Montag ein, dass er "über einen Sicherheitsvorfall im Zusammenhang mit einer Drittanbieteranwendung informiert wurde, der möglicherweise zu einem unbefugten Zugriff auf Daten von Salesforce geführt hat".
Aufgrund seiner Untersuchungen geht das Unternehmen davon aus, dass "der Zugriff auf Standardfelder des Kundenbeziehungsmanagements in Salesforce erfolgte. Es wird nicht davon ausgegangen, dass auf Verbraucherdaten zugegriffen wurde", so das Unternehmen. Zugleich warnte SpyCloud jedoch: "In Zusammenarbeit mit anderen Sicherheitsforschern gehen wir davon aus, dass Hunderte weiterer Salesloft-Kunden betroffen sind."
Palo Alto Networks
Palo Alto Networks veröffentlichte am Dienstag ebenfalls eine Mitteilung, in der bestätigt wurde, dass das Unternehmen zu den Opfern der Salesloft-Drift-Angriffe gehörte.
Die betroffenen Daten "umfassen hauptsächlich geschäftliche Kontaktinformationen, interne Verkaufskonten und grundlegende Falldaten zu unseren Kunden", erklärte das Unternehmen in der Mitteilung. "Unsere Untersuchung durch Unit 42 bestätigt, dass diese Situation keine Auswirkungen auf Produkte, Systeme oder Dienste von Palo Alto Networks hatte", so die Erklärung weiter.
In einer Erklärung gegenüber CRN wies allerdings auch Palo Alto Networks deutlich darauf hin, dass es nur "einer von Hunderten von Kunden war, die von dem weitreichenden Angriff auf die Lieferkette" betroffen waren, der sich gegen Salesloft Drift richtete.
Cloudflare
Cloudflare gab am Dienstag bekannt, dass bei den groß angelegten Angriffen auf Salesloft Drift möglicherweise eigene Kundensupportdaten kompromittiert wurden.
"Bei den meisten [kompromittierten] Informationen handelt es sich um Kundenkontaktdaten und grundlegende Supportdaten, aber einige Kundensupport-Interaktionen können Informationen über die Konfiguration eines Kunden offenlegen und sensible Informationen wie Zugriffstoken enthalten", erklärte Cloudflare in einem Beitrag.
"Da die Support-Fall-Daten von Salesforce den Inhalt von Support-Tickets mit Cloudflare enthalten, sollten alle Informationen, die ein Kunde möglicherweise über unser Support-System an Cloudflare weitergegeben hat – einschließlich Protokollen, Tokens oder Passwörtern – als kompromittiert betrachtet werden. Wir empfehlen Ihnen dringend, alle Anmeldedaten, die Sie uns über diesen Kanal mitgeteilt haben, zu ändern", heißt es in dem Beitrag.
Dieser Beitrag erschien zuerst bei unserer Schwester-Publikation crn.com
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden