Η Salesforce εξέδωσε μια κρίσιμη ειδοποίηση ασφαλείας που προσδιορίζει «ασυνήθιστη δραστηριότητα» που περιλαμβάνει εφαρμογές που έχουν δημοσιευτεί από το Gainsight και συνδέονται με περιβάλλοντα πελατών.
Η έρευνα του γίγαντα CRM δείχνει ότι αυτή η δραστηριότητα μπορεί να επέτρεψε τη μη εξουσιοδοτημένη πρόσβαση στα δεδομένα του Salesforce μέσω των εξωτερικών συνδέσεων των εφαρμογών.
Σε μια άμεση απάντηση για τον περιορισμό της απειλής, η Salesforce έχει ανακαλέσει όλα τα ενεργά διακριτικά πρόσβασης και ανανέωσης που σχετίζονται με τις επηρεαζόμενες εφαρμογές Gainsight και τις έχει αφαιρέσει προσωρινά από το AppExchange.
Salesforce ρητά δηλωθείς ότι αυτό το περιστατικό δεν προέρχεται από μια ευπάθεια στην ίδια την πλατφόρμα Salesforce. Αντίθετα, εκμεταλλεύεται τη σχέση εμπιστοσύνης μεταξύ της πλατφόρμας και των ενσωματώσεων τρίτων.
Η επίθεση αξιοποιεί διακυβευμένα διακριτικά OAuth και ψηφιακά κλειδιά που επιτρέπουν στις εφαρμογές να έχουν πρόσβαση σε δεδομένα χωρίς να μοιράζονται διαπιστευτήρια χρήστη.
Παραβίαση Salesforce Gainsight
Αυτό αντικατοπτρίζει τις τακτικές που χρησιμοποιήθηκαν στην καμπάνια του Αυγούστου 2025 που αφορούσε το Salesloft Drift, στην οποία οι εισβολείς χρησιμοποίησαν κλεμμένα διακριτικά OAuth για να παρακάμψουν τον έλεγχο ταυτότητας και να αποκτήσουν πρόσβαση σε δεδομένα επιπέδου CRM, όπως επαγγελματικές επαφές και αρχεία καταγραφής υποθέσεων, σε εκατοντάδες οργανισμούς.
Η Gainsight είχε προηγουμένως αναγνωρίσει την έκθεσή της στο περιστατικό Salesloft Drift, επιβεβαιώνοντας ότι τα κλεμμένα μυστικά από αυτή την παραβίαση ήταν η πιθανή βασική αιτία. Τώρα, οι ηθοποιοί απειλών φαίνεται να επαναλαμβάνουν το ίδιο βιβλίο: συνδυάζοντας κλεμμένα διακριτικά OAuth με εφαρμογές που έχουν υπερβολική άδεια για να δημιουργήσουν μια «τέλεια αλυσίδα επίθεσης» που παρακάμπτει τις παραδοσιακές περιμετρικές άμυνες.
Οι ερευνητές ασφαλείας έχουν συνδέσει αυτήν την καμπάνια με το ShinyHunters (επίσης παρακολουθείται ως UNC6040), μια ομάδα απειλών που είναι διαβόητη για τη στόχευση των οικοσυστημάτων SaaS. Αυτή η ομάδα συνήθως χρησιμοποιεί κοινωνική μηχανική για να εξαπατήσει τους χρήστες να εγκρίνουν κακόβουλες εφαρμογές ή, όπως φαίνεται εδώ, να περιστρέφονται από έναν παραβιασμένο προμηθευτή σε έναν άλλο.
Από την οπτική γωνία της Διαχείρισης Κινδύνων Τρίτου Μέρους (TPRM), αυτό το περιστατικό αποτελεί παράδειγμα ενός συμβάντος «ακτίνας έκρηξης της αλυσίδας εφοδιασμού», όπου ένας μεμονωμένος παραβιασμένος προμηθευτής χρησιμεύει ως πύλη σε δεκάδες περιβάλλοντα κατάντη.
Ο κίνδυνος στα σύγχρονα οικοσυστήματα SaaS δεν ταξιδεύει πλέον γραμμικά. φανερώνει, δημιουργώντας εκθετική έκθεση από ένα μόνο σημείο αποτυχίας.
Οι οργανισμοί που χρησιμοποιούν ενσωματώσεις Gainsight πρέπει να υποθέσουν ότι οι τρέχουσες συνδέσεις τους έχουν παραβιαστεί έως ότου γίνει εκ νέου έλεγχος ταυτότητας. Οι ομάδες θα πρέπει να ελέγχουν αμέσως κάθε συνδεδεμένη εφαρμογή στην παρουσία τους στο Salesforce, καταργώντας ή περιορίζοντας οποιαδήποτε ενσωμάτωση που δεν απαιτεί ευρεία πρόσβαση στο API.
Είναι σημαντικό να εναλλάσσετε αμέσως τα διακριτικά OAuth του προμηθευτή και να αντιμετωπίζετε οποιοδήποτε διακριτικό με ευρείες άδειες ως υψηλού κινδύνου. Επιπλέον, οι ομάδες ασφαλείας θα πρέπει να σκληρύνουν τις διαδικασίες έγκρισης για νέες ενσωματώσεις, καθώς οι φορείς απειλών έχουν χρησιμοποιήσει στο παρελθόν την κοινωνική μηχανική για να εγκρίνουν κακόβουλες εφαρμογές.
Ο Ferhat Dikbiyik, Chief Research and Intelligence Officer (CRIO) στο Black Kite, δήλωσε στο cybersecuritynews.com “ότι αυτό δεν ήταν παραβίαση της βασικής πλατφόρμας της Salesforce. Αντίθετα, επιτιθέμενοι που συνδέονται με το ShinyHunters (ScatteredSpider Lapsu$ Hunters) εκμεταλλεύτηκαν δεδομένα από μια ολοκληρωμένη πρόσβαση πελάτη σε τρίτο μέρος. έξω από περιβάλλοντα Salesforce Και υπάρχει ένα σημαντικό μοτίβο εδώ».
“Το Gainsight έχει ήδη αναγνωρίσει την έκθεση σε μια προηγούμενη καμπάνια που αφορούσε το Salesloft Drift, όπου χρησιμοποιήθηκαν κλεμμένα διακριτικά OAuth για πρόσβαση σε δεδομένα Salesforce σε πολλούς οργανισμούς. Σε εκείνη την προηγούμενη περίπτωση, το Gainsight αποσύνδεσε την εφαρμογή Salesloft και επιβεβαίωσε ότι είχαν πρόσβαση μόνο σε δεδομένα επιπέδου CRM, κυρίως σε πληροφορίες επιχειρηματικής επαφής και σε ορισμένες περιπτώσεις Sales”.
