Salesforce advirtió sobre la detección de “actividad inusual” relacionada con las aplicaciones publicadas por Gainsight conectadas a la plataforma.
“Nuestra investigación indica que esta actividad puede ocurrir permitido el ataque no competente a los datos de Salesforce de ciertos clientes a través de la conexión de la aplicación”, dijo la compañía en un aviso.
La firma de servicios en la abundancia dijo que ha tomado la medida de revocar todos los tokens de ataque activo y puesta al día asociados con las aplicaciones publicadas por Gainsight conectadas a Salesforce. Todavía eliminó temporalmente esas aplicaciones de AppExchange mientras continúa su investigación.
Salesforce no reveló cuántos clientes se vieron afectados por el incidente, pero dijo que les notificó.
“No hay indicios de que este problema se deba a alguna vulnerabilidad en la plataforma Salesforce”, añadió la empresa. “La actividad parece estar relacionada con la conexión externa de la aplicación a Salesforce”.
Por precaución, la aplicación Gainsight se retiró temporalmente de HubSpot Marketplace y se revocó el ataque al conector de Zendesk. “Esto incluso puede afectar el ataque de Oauth para las conexiones de los clientes mientras se lleva a lugar la revisión”, dijo Gainsight. “Hasta el momento no se ha observado ninguna actividad sospechosa relacionada con Hubspot”.
En una publicación compartida en LinkedIn, Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GTIG), la describió como una “campaña emergente” dirigida a aplicaciones publicadas por Gainsight conectadas a Salesforce comprometiendo tokens OAuth de terceros para obtener potencialmente ataque no competente.
Se considera que la actividad está vinculada a actores de amenazas asociados con el conjunto ShinyHunters (incluso conocido como UNC6240), lo que refleja un conjunto similar de ataques dirigidos a instancias de Salesloft Drift a principios de agosto.
Según DataBreaches.Net, ShinyHunters confirmó que la campaña es obra suya y afirmó que las oleadas de ataques de Salesloft y Gainsight les permitieron robar datos de casi 1000 organizaciones.
Curiosamente, Gainsight dijo anteriormente que incluso era uno de los clientes de Salesloft Drift afectados por el ataque previo. Pero no está claro en este momento si la infracción previo jugó un papel en el incidente contemporáneo.
En ese hack, los atacantes accedieron a detalles de contacto comercial para contenido relacionado con Salesforce, incluidos nombres, direcciones de correo electrónico comerciales, números de teléfono, detalles regionales/ubicación, información de osadía de productos y contenidos de casos de soporte (sin archivos adjuntos).
“Los adversarios apuntan cada vez más a los tokens OAuth de integraciones SaaS de terceros confiables”, señaló Larsen.
A la luz de la actividad maliciosa, se recomienda a las organizaciones que revisen todas las aplicaciones de terceros conectadas a Salesforce, revoquen tokens para aplicaciones sospechosas o no utilizadas y roten las credenciales si se detectan anomalías en una integración.
