OAuth 令牌滥用导致客户 CRM 数据泄露后,Salesforce 禁用 Klue Battlecards 应用程序

在与集成相关的可疑活动可能暴露客户数据后,Salesforce 已禁用 Klue Battlecards 应用程序连接。一个Salesforce 状态警报表示该问题仅限于 Klue 的应用程序连接,并非来自 Salesforce 平台的漏洞。

Klue 是一个竞争情报和输赢平台,该平台表示,攻击者通过与集成服务相关的受损旧凭证获得了访问权限。在公共场所克鲁安全更新首席执行官 Jason Smith 表示,攻击者利用该访问权限获取连接到第三方平台(包括 Salesforce)的 OAuth 令牌。

然后,被盗的令牌被用来访问某些互联客户环境中的数据。除非另行通知,Salesforce 用户无法通过 Klue Battlecards 应用程序进行连接,而 Klue 和受影响的客户将继续调查。

该事件以 OAuth 令牌为中心,该令牌允许受信任的第三方应用程序访问 Salesforce 等平台,而无需每次都要求用户重新登录。当攻击者获得这些令牌时,他们可能能够充当受信任的应用程序,直到访问权限被撤销。

根据女猎手,异常行为于 6 月 11 日开始,Klue 随后检测到影响其部分集成基础设施的未经授权的活动。 Huntress 表示,攻击者推送了一个代码更新,能够收集 Klue 客户用来将 Klue 与他们自己的系统连接起来的 OAuth 令牌。

Klue 表示,它于 6 月 12 日发现了未经授权的活动,并在发现事件后采取了遏制措施。这些步骤包括撤销受影响的凭据和令牌、删除未经授权的代码、禁用可能受影响的集成、启动更广泛的调查以及通知执法部门。

关键细节已知什么
受影响的应用程序Klue Battlecards Salesforce 集成
主要访问方式与 Klue 集成相关的受损 OAuth 令牌
Salesforce平台漏洞不,Salesforce 表示问题仅限于 Klue 的应用程序连接
已知数据类型CRM和销售相关的业务数据,取决于每个客户的集成范围
地位Klue Battlecards 与 Salesforce 的连接已禁用,直至另行通知

攻击者如何使用受信任的应用程序连接

瑞利亚探索攻击者通过受损的 Klue 集成服务帐户进行身份验证,生成 OAuth 令牌,并使用自动化 Python 脚本通过 Salesforce REST API 提取 CRM 记录。

该活动包括通过 Salesforce API 调用进行对象目录枚举,然后针对 Salesforce 查询端点进行重复查询。 ReliaQuest 表示,该活动看起来像是批量数据检索,而不是正常的集成流量。

该事件说明了为什么值得信赖的 SaaS 集成需要密切监控。黑曜石安全将此次攻击描述为 SaaS 供应链访问违规,其中合法集成成为大量 CRM 数据查询的访问路径。

  • 攻击者通过 Klue 的集成基础设施获取 OAuth 令牌。
  • 他们使用这些令牌来访问连接的客户 Salesforce 环境。
  • 他们通过 API 调用查询 Salesforce 数据,而不是像普通用户一样登录。
  • 该活动可以绕过主要针对员工帐户的控制。
  • 几家受影响的公司表示,产品系统和核心平台没有受到影响。

Huntress、Recorded Future 和 Jamf 确认了影响

Huntress 表示,从其 Salesforce 帐户复制的数据包括业务联系人、报价以及其他与销售相关的数据和消息。该公司表示,威胁数据、密码、支付卡信息、工程数据、代理遥测、产品或基础设施没有受到影响。

记录未来表示其 Salesforce 帐户的元素受到与 Salesforce 和 Klue 集成相关的 OAuth 令牌受损的影响。该公司表示,影响似乎仅限于 Salesforce 中存储的业务数据字段,例如客户联系人姓名、电子邮件地址和某些业务合同信息。

贾姆夫还证实,未经授权的一方通过 Klue 的集成获得了对其 Salesforce 实例数据的访问权限。 Jamf 表示,该事件并未影响其产品或服务客户的能力,影响似乎主要限于 Salesforce 内的业务数据领域。

公司报告的影响系统未报告为受影响
女猎手业务联系人、报价和销售相关数据产品、密码、支付卡、威胁数据和工程遥测
记录未来Salesforce 中的业务数据字段,包括一些客户联系人和合同信息核心平台、Intelligence Graph、内部数据库和专有系统
贾姆夫Salesforce 业务数据字段产品和客户服务运营

伊卡洛斯集团声称对此事负责

据该组织称,勒索组织 Icarus 后来将 Klue 列在其泄密网站上。女猎手调查。亨特雷斯表示,尽管事件的全部范围仍在调查中,但清单似乎支持了归属。

攻击者还通过电子邮件联系了一些 Huntress 员工,声称 Salesforce 数据已被下载,并给公司 48 小时的时间做出回应。 Huntress 表示,这些消息似乎来自与 Klue 合法环境无关的基础设施。

ReliaQuest 表示,该活动类似于早期的第三方 OAuth 滥用活动,这些活动通过受信任的 SaaS 连接攻击 Salesforce 环境。它是威胁分析表示,尽管该剧本看起来很熟悉,但在出版时归属仍不确定。

为什么 OAuth 令牌滥用很难发现

OAuth 令牌通常属于非人类身份,例如连接的应用程序或集成。这些帐户可以持续访问敏感系统,但许多组织对它们的监控不如员工帐户严密。

这种差距很重要,因为 Salesforce 可能会将请求视为来自可信集成。作为黑曜石安全值得注意的是,拥有有效令牌的攻击者不需要密码、MFA 代码或成功的网络钓鱼尝试即可开始查询 CRM 记录。

风险取决于授予集成的权限。如果连接的应用程序可以读取联系人、机会、定价、注释或合同详细信息,则被盗的令牌可能会暴露这些相同的记录。

  • 清点连接到 Salesforce 的所有 OAuth 应用程序。
  • 撤销和轮换 Klue 连接的 Salesforce 集成的令牌。
  • 查看 Salesforce API 日志以了解大量查询活动。
  • 寻找不寻常的用户代理,包括基于 Python 的自动化。
  • 尽可能限制对已知基础设施的集成访问。
  • 将最低权限应用于所有连接的应用程序。
  • 与特权用户一样紧迫地监控非人类身份。

Salesforce 和 Klue 客户现在应该做什么

使用 Klue Battlecards 的 Salesforce 客户应承担集成需求审查,即使他们尚未收到直接通知。第一步是确认 Klue 集成是否具有 Salesforce 访问权限以及它拥有哪些数据范围。

Salesforce 通知表示为了保护客户,Klue Battlecards 连接已被禁用。这限制了通过应用程序的新访问,但客户仍应查看历史活动并在需要时轮换受影响的凭据。

克鲁事件更新表示该公司正在与受影响的客户合作,分享调查结果,并审查其安全控制、凭证管理、监控和部署流程。 Klue 还表示,它聘请了 CrowdStrike 支持调查。

更多公司警告网络钓鱼风险

Recorded Future 表示,除了基本的网络卫生和持续警惕网络钓鱼或垃圾邮件之外,客户无需采取任何行动。它是客户更新还表示,该事件并未影响其核心平台或内部基础设施。

Jamf 警告客户,攻击者可能会使用 Salesforce 的联系信息来支持网络钓鱼活动。在其克鲁事件通知Jamf 敦促用户小心意外消息,避免与未知发件人共享敏感信息或凭据。

对于安全团队来说,该事件又增加了有关 SaaS 供应链暴露的警告。当令牌、凭证和 API 权限没有受到足够的审查时,单个可信集成可能会成为广泛的访问点。

FAQ

Salesforce Klue 事件发生了什么?

在涉及集成的可疑活动可能暴露了客户 CRM 数据后,Salesforce 禁用了 Klue Battlecards 应用程序连接。 Klue 表示,攻击者使用受损的旧凭证来获取第三方平台(包括 Salesforce)的 OAuth 令牌。

Klue 事件是由 Salesforce 漏洞引起的吗?

不会。Salesforce 表示,该问题仅限于 Klue 的应用程序连接,并非由 Salesforce 平台中的漏洞引起。

Klue Salesforce事件中暴露了哪些数据?

暴露的数据因客户而异,并取决于授予 Klue 集成的权限。已确认的报告提到了 CRM 相关的业务数据,例如联系方式、企业名称、定价信息、销售记录、机会数据和合同相关信息。

谁确认了克鲁事件的影响?

Huntress、Recorded Future 和 Jamf 公开证实了与 Klue 集成事件相关的影响。每家公司均表示,已知影响仅限于 Salesforce 或业务数据领域,而不是核心产品或主要内部系统。

Klue 事件发生后,Salesforce 客户应该做什么?

使用 Klue 的 Salesforce 客户应检查连接的应用程序权限,撤销和轮换 OAuth 令牌,检查 Salesforce API 日志是否存在异常查询活动,检查 Klue 的已知指标,并将集成限制为最低权限访问。