A közelmúltban napvilágra került támadás, amely a Salesloft és a Drift integrációját érintette, több nagy technológiai céget is célba vett. A támadás során a célpontok között a Cloudflare is szerepelt, amely nyíltan elismerte érintettségét, és részletesen ismertette az események következményeit. A Cloudflare vizsgálata megerősítette, hogy a támadók illetéktelenül hozzáfértek ügyféltámogatási jegyekhez és több mint száz Cloudflare API-tokenhez.

A támadás alapját egy kompromittált SaaS integráció jelentette. A Drift és Salesloft közötti kapcsolat révén az elkövetők OAuth tokeneket tudtak megszerezni, amelyek érvényes hitelesítési adatokként működtek a Salesforce környezetében. Ezekkel a tokenekkel a támadók legitim alkalmazásként tudtak API hívásokat végezni, így észrevétlenül hozzáférhettek adatokhoz.

A kiszivárgott adatok között szerepeltek a Salesforce „case” objektumai, vagyis az ügyfélszolgálati jegyek, amelyek szöveges tartalma gyakran tartalmaz konfigurációs részleteket, hibaleírásokat, esetenként hálózati topológiára utaló információkat. Bár mellékleteket nem sikerült megszerezniük, a szöveges tartalmak is értékes intelligenciát nyújthatnak egy további támadási lánc megtervezéséhez.

A legsúlyosabb technikai kockázatot ugyanakkor az jelentette, hogy 104 Cloudflare API-token is a támadók birtokába jutott. Ezek közvetlenül felhasználhatók lettek volna szolgáltatások meghívására vagy folyamatok manipulálására. A Cloudflare gyors reagálása, a tokenek azonnali visszavonásával és rotációjával megakadályozta, hogy a kompromittált hitelesítő adatok tényleges támadási vektorokká váljanak.

A Cloudflare a támadás észlelését követően zárolta a Drift-fiókokat, visszavonta az összes érintett kulcsot, valamint eltávolította a kapcsolódó alkalmazásokat és böngészőbővítményeket. Emellett szélesebb körű biztonsági felülvizsgálatot indított minden külső SaaS integrációra kiterjedően, hogy feltárja a hasonló gyenge pontokat.

Az incidens során különös hangsúlyt kapott az OAuth tokenek kockázatkezelése. Az ilyen tokenek jellemzően hosszú élettartamúak, és a kompromittálásuk észlelése nehéz, mivel a hozzáférés „legitim” csatornán keresztül történik. Az eset jó példa arra, hogy a modern támadók az ellátási lánc kevésbé védett, de bizalmi kapcsolatokra épülő elemein keresztül igyekeznek pozíciót szerezni. A supply chain támadások nem kizárólag szoftverfejlesztési környezetekben jelennek meg, hanem a SaaS ökoszisztémában is, ahol a vállalatok mindennapi működésüket külső eszközökre alapozzák. Az ilyen integrációk túl gyakran kapnak jogosultságokat anélkül, hogy azok tényleges szükségességét felülvizsgálnák.

A Cloudflare esetében nem történt visszaélés a megszerzett tokenekkel, és a belső infrastruktúra érintetlen maradt, azonban az a tény, hogy ügyféladatok szivárogtak ki, komoly biztonsági és reputációs kockázatot jelent. A történtek egyértelműen jelzik, hogy a SaaS integrációk biztonsági felügyelete stratégiai fontosságú feladat.

(forrás, forrás)