يدرك فريق الأمان والامتثال الخاص بـ LevelBlue ثغرة الأمن التي تؤثر على دمج chatbot الانجراف. لا تستخدم LevelBlue ، والكيانات التابعة لها ، الانجراف ، وأكدت Salesforce أن الحادث لم يؤثر على العملاء دون هذا التكامل.
بناءً على المعلومات الحالية ، نؤكد أنه لم يكن هناك أي تعرض أو تأثير لنا أو لعملائنا. إذا نشأت معلومات جديدة تغير هذا التقييم ، فسنقدم تحديثًا مباشرة.
للحصول على خلفية إضافية حول الضعف ، تم اختراق Salesloft Drift ، وهو مكون إضافي لجهة خارجية لـ Salesforce للمساعدة في أتمتة خيوط الاتصال والمبيعات ، في الفترة ما بين مارس إلى أغسطس 2025. التسوية المكشوفة OAUTH ، التي سمحت بممثل التهديد (الذي تسببت في المبيعات وتتبعه على أنه UNC6395 من قبل Google) إلى مصادقة MFA (بما في ذلك عملاء MFA) مع DIFT مع المبيعات. منح هذا الجهات الفاعلة التهديد الوصول إلى بيانات Salesforce لمئات المؤسسات ، بما في ذلك Google و Cisco و Adidas و CloudFlare و Zscaler و Palo Alto.
الهجوم
بدأت التسوية الأولية في مارس عندما تمكن ممثل التهديد من الوصول من خلال وسائل غير معروفة لحساب Salesloft Github ، وتنزيل العديد من مستودعات التعليمات البرمجية الخاصة. حافظ المهاجم على الوصول خلال يونيو على الأقل. سمحت المعلومات التي تم تسريبها لممثل التهديد بالتعبير عن بيئة AWS الخاصة بـ AWS في أوائل أغسطس ، مما يستفيد من الوصول إلى سرقة الرموز المميزة لتكامل الانجراف.
ثم استخدم ممثل التهديد رموز OAUTH للوصول إلى تكاملات Salesforce لعملاء Drift ، مما يسمح بتنزيل هذه البيانات وتنزيلها. في محاولة للتهرب من الطب الشرعي ، حذف ممثل التهديد أيضًا السجلات المسجلة للاستعلامات ووظائف التصدير.
اعتبارًا من 9 سبتمبر ، تمت استعادة التكامل بين Salesloft و Salesforce.
خاتمة
تتسبب هذه الأنواع من الهجمات في أضرار هائلة مع حل وسط واحد فقط ، لأنها تستهدف سلسلة التوريد من المنظمات الرئيسية بدلاً من مهاجمة المنظمات مباشرة. من خلال المساومة على مؤسسة واحدة فقط ، Salesloft Drift ، تمكنت الجهات الفاعلة التهديد من التحويل إلى حل وسط المئات من المنظمات.
من الأهمية بمكان في هذا اليوم وهذا العصر أن تأخذ مخزونًا من بائعي الطرف الثالث تعتمد مؤسستك على التأثير على عملك وتوثيقه إذا تعرض أحد هؤلاء الموردين للخطر. أخيرًا ، تأكد من قيام مورديك بذل العناية الواجبة لتأمين أنفسهم.
المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ويجب عدم تفسيرها على أنها نصيحة قانونية أو تنظيمية أو امتثال أو للأمن السيبراني. يجب على المنظمات استشارة محترفيها القانونيين أو الامتثال أو الأمن السيبراني فيما يتعلق بالالتزامات المحددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات والاستجابة المدارة من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية ، فهي ليست بديلاً لرصد الشبكات الشامل أو إدارة الضعف أو برنامج الأمن السيبراني الكامل.
