Noch mehr bekannte IT-Securityanbieter von Cyberangriff auf Salesforce betroffen

Der Cyberangriff auf Salesforce-CRM mit offenbar gestohlenen Token zieht immer größere Kreise: Immer mehr Drittanbieter meldeten, zu der kompromittierten Softwarelieferkette zu gehören. Den von Google aufdeckten Angriff konnte ein Securityhersteller abwehren, der vorgesorgt hatte.

Ein Bild, das Text, Werbung, Marke, Screenshot enthält. KI-generierte Inhalte können fehlerhaft sein.

Proofpoint teilte CRN mit, dass keine sensiblen Konfigurationsdaten gespeichert oder offengelegt worden seien"

Die Unternehmen gehören zu zahlreichen Cybersicherheitsanbietern, die melden, dass Kundendaten, die in ihrer Salesforce-CRM-Instanz gespeichert waren, im Zusammenhang mit der Sicherheitsverletzung bei der Anwendung Salesloft Drift kompromittiert wurden (CRN berichtete vergangene Woche).

Wie jetzt bekannt wurden, sind die drei Cybersicherheitsanbieter Proofpoint, Tenable und CyberArk ebenfalls von der jüngsten Sicherheitsverletzung einer Salesforce-Anwendung betroffen. Damit wächst die lange Liste jener Unternehmen, die als Drittanbieter in der Softwarelieferkette von Salesforce in den Cyberangriff auf den CRM-Anbieter involviert sind.

Die drei bekannten IT-Sicherheitsunternehmen veröffentlichten vergangene Woche Warnmeldungen, in denen sie berichteten, dass Kundendaten, die in ihrer Salesforce-CRM-Instanz gespeichert waren, im Zusammenhang mit der Sicherheitsverletzung der Salesloft Drift-Anwendung kompromittiert wurden. Weitere Cybersicherheitsanbieter, die bekannt gegeben haben, von den Cyberangriffen betroffen zu sein, sind Palo Alto Networks, Zscaler, Cloudflare, Tanium, Rubrik, Cato Networks und BeyondTrust.

Weiter unklar, wie Angreifer in Besitz der Token kamen

Bei den Angriffen wurden Authentifizierungstoken für die Salesloft-eigene Workflow-Automatisierungsanwendung Drift gestohlen, mit denen die Angreifer Daten aus Salesforce-CRM-Systemen gestohlen haben. Es ist unklar, wie die Angreifer an die Token gelangt sind.

In einer vergangenen Dienstag online veröffentlichten Mitteilung erklärte Proofpoint, dass es "von Salesforce über verdächtige Aktivitäten" im Zusammenhang mit der Salesloft Drift-Anwendung informiert worden sei. Nach einer Untersuchung "bestätigen die aktuellen Erkenntnisse, dass ein unbefugter Akteur über die kompromittierte Drift-Integration auf den Salesforce-Tenant von Proofpoint zugegriffen und bestimmte in unserer Salesforce-Instanz gespeicherte Informationen eingesehen hat", so das Unternehmen.

Proofpoint nennt CRN Details

In einer Erklärung gegenüber CRN am Freitag teilte Proofpoint mit, dass seine Untersuchung "bestätigt hat, dass der Angreifer auf Salesforce-'Case'-Objekte zugegriffen hat, die in unserer Umgebung begrenzte Kontaktinformationen enthielten – insbesondere eine kleine Anzahl von Namen von Kundenmitarbeitern und geschäftlichen E-Mail-Adressen. Es wurden keine E-Mail-Nachrichten, Anhänge oder sensible Konfigurationsdaten gespeichert oder offengelegt."

Die Infrastruktur und die internen Systeme von Proofpoint seien von dem Vorfall nicht betroffen gewesen, ebenso wenig wie die Kundeninstanzen der Proofpoint-Dienste, fügte das Unternehmen hinzu.

In einer Mitteilung vom Mittwoch gab Tenable bekannt, dass es "zu den vielen betroffenen Unternehmen" der Salesloft-Drift-Angriffe gehöre, bei denen "ein unbefugter Benutzer Zugriff auf einen Teil der in unserer Salesforce-Instanz gespeicherten Informationen einiger unserer Kunden hatte".

Zu den betroffenen Daten gehören "Betreffzeilen und erste Beschreibungen, die unsere Kunden beim Eröffnen eines Tenable-Supportfalls angegeben haben" sowie Standardkontaktinformationen wie Name, geschäftliche E-Mail-Adresse, Telefonnummer und Standortangaben.

Tenable-Produkte und Daten, die in den Produkten des Anbieters gespeichert sind, seien nicht betroffen, teilte das Unternehmen mit. CRN hat Tenable um eine weitere Stellungnahme gebeten.

CyberArk: Produkte und Dienstleistungen nicht betroffen

CyberArk, ein börsennotierter Anbieter von Identitätssicherheitslösungen, den Palo Alto Networks für 25 Mrd. US-Dollar übernehmen will, bestätigte am Mittwoch, dass es zu den "Hunderten von Organisationen" gehöre, die von den Salesloft-Drift-Angriffen betroffen waren.

Zu den Daten, auf die bei dem Angriff zugegriffen wurde, könnten geschäftliche Kontaktinformationen sowie Metadaten zu Konten, Konversationen und Zusammenfassungen gehören, teilte das Unternehmen mit. Andere Kundendaten wie Support-Fallinformationen seien nicht betroffen gewesen, ebenso wenig wie die Produkte und Dienstleistungen von CyberArk, teilte das Unternehmen mit. CyberArk erklärte gegenüber CRN, dass es über die Empfehlung hinaus keine weiteren Kommentare abgeben werde.

Google entlarvte unsicheren Authentifizierungstoken

Der Cyberangriff auf Salesloft-Drift wurde erstmals am 26. August von der Google Threat Intelligence Group (ehemals Mandiant) öffentlich bekanntgegeben. Googles Sicherheitsteam riet Salesloft-Drift-Kunden, "alle in der Drift-Plattform gespeicherten oder mit ihr verbundenen Authentifizierungstoken als potenziell kompromittiert zu behandeln".

Die Angriffe, die mit einer von Google-Sicherheitsforschern als UNC6395 verfolgten Bedrohungsgruppe in Verbindung stehen, sollen laut dem Beitrag zwischen dem 8. und 18. August stattgefunden haben.

Google selbst gehörte zu den Opfern, teilte das Unternehmen mit. Ein Angreifer habe am 9. August gestohlene Tokens verwendet, um "auf E-Mails von einer sehr kleinen Anzahl von Google Workspace-Konten zuzugreifen".

Unautorisierte IT-Adresse: Okta wehrt Zugriff mit Token ab

Ein Cybersicherheitsanbieter, Okta, hat berichtet, einen Angriffsversuch auf Salesloft Drift vereitelt zu haben. Der Anbieter von Identitätssicherheitslösungen erklärte am Dienstag, dass die nach früheren Sicherheitsverletzungen in den Jahren 2022 und 2023 implementierten Sicherheitsmaßnahmen dazu beigetragen hätten, die Angreifer abzuwehren.

Zu diesen Maßnahmen gehörte die Durchsetzung von IP-Eingangsbeschränkungen für Salesforce, "um unbefugte Versuche an der Eingangstür zu blockieren, bevor ein Zugriff möglich war", erklärte Okta in einem Beitrag am Dienstag. "Der Angreifer versuchte, mit einem kompromittierten Token auf unsere Salesforce-Instanz zuzugreifen, aber der Angriff schlug fehl, da die Verbindung von einer nicht autorisierten IP-Adresse ausging", erklärte das Unternehmen.

Der Artikel erschien zuerst bei unserer Schwesterpublikation crn.com.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden