Salesloft-Drift事件標誌著網路威脅的一次範式轉變。攻擊者並未採用惡意軟體,而是通過OAuth令牌武器化,OAuth令牌與傳統惡意軟體不同,攻擊者繞過了多因素身份驗證(MFA)和週邊防禦,從而實施了入侵。700 組織包括Cloudflare和Palo Alto Networks等網路安全領軍企業。這並非一起簡單的數據洩露事件;而是一次針對相互關聯的雲生態系統之間“信任鏈”的多階段攻擊。
1. 技術殺傷鏈
攻擊者(追蹤為 UNC6395/GRUB1) 實施了一場複雜的四階段行動:
l 第一階段:基礎設施被攻陷(2025年3月至6月):該威脅行為者獲得了對Salesloft
GitHub倉庫的持久訪問許可權。這使他們能夠竊取源代碼,更重要的是,還竊取了長期有效的AWS管理憑據。
l 第二階段:平臺滲透:攻擊者利用被盜的AWS密鑰滲透了Drift環境。他們瞄準了——密鑰管理器存儲客戶 Salesforce 集成的 OAuth 訪問令牌和刷新令牌的地點。
l 第三階段:代幣濫用與隱蔽外泄:8月8日至20日期間,攻擊者利用這些“數字主密鑰”查詢客戶的Salesforce實例。為逃避檢測,他們:
n 最初進行了小規模的“測試查詢”。
n 利用了匿名基礎設施(DigitalOcean/Mullvad VPN)進行最終的“數據轉儲”。
n 已刪除API作業日誌,以消除取證痕跡。
l 第四階段:憑證收集與橫向移動:最終目標是級聯訪問. 攻擊者掃描了被盜的Salesforce數據(尤其是支持案例記錄和附件),尋找AWS密鑰、Snowflake令牌以及VPN憑據,以入侵客戶自身的雲環境。
2. 影響與級聯風險
此次漏洞的“爆炸半徑”展現出一種令人恐懼的相互關聯程度。
受影響的行業
|
部門 |
受影響實體 |
|
網路安全 |
帕洛阿爾托網路、Zscaler、CrowdStrike、CyberArk |
|
金融 |
安聯人壽(140萬條記錄),歐洲銀行管理局 |
|
公共部門 |
歐盟委員會、歐洲網路與資訊安全局、歐洲刑警組織 |
|
科技巨頭 |
微軟、穀歌、Cloudflare |
“憑證多米諾”效應
這場危機不僅限於Salesloft的數據。由於員工經常在支持工單中共享敏感的“臨時”修復措施(如API密鑰或密碼),攻擊者將Salesforce變成了一個……憑證金礦. 這些票據中被盜的AWS密鑰隨後被用於入侵歐盟委員會的雲平臺,導致了340GB的數據洩露。
3. 現代SaaS防禦中的關鍵性失敗
本次活動突出了當前安全架構中的三個系統性“盲點”:
l NHI治理真空:大多數安全團隊都專注於人類用戶。此次攻擊利用了……非人類身份(應用間連接)以過度許可權運行且無需任何多因素身份驗證要求。
l OAuth 範圍膨脹:Drift 的 OAuth 令牌通常要求對 Salesforce 對象擁有“完全訪問許可權”。當時並沒有任何機制來……最小許可權在API層。
l 孤立監控:Salesforce API日誌很少與AWS
CloudTrail或中央SIEM集成,這使得攻擊者能夠在不同平臺之間橫向移動,而不會觸發跨環境警報。
4. 2026年戰略建議
為防止再次發生,企業必須從“以平臺為中心”轉向——以身份為中心安全模型。
l 實施SSPM(SaaS安全態勢管理):使用自動化工具審計第三方集成,識別“僵屍”令牌或許可權過高的作用域。
l NHI庫存與周轉:將OAuth令牌視為高價值機密。實施強制輪換策略,並限制刷新令牌的有效期。
l API的零信任:將零信任原則應用於機器對機器的流量。監控異常的SOQL(Salesforce對象查詢語言)模式,例如第三方應用的大批量導出操作。
l 淨化溝通管道:使用自動數據丟失防護(DLP)功能,防止員工在支持工單或Slack頻道中發佈原始憑據或機密資訊。
l 最終思考:Salesloft-Drift危機證明,在一個以SaaS為先的世界裏,你的安全性僅取決於最薄弱的集成環節。是時候停止將OAuth視作一種“設置一次、高枕無憂”的便捷工具,而應將其視為關鍵的基礎架構組成部分了。
-------
參考文獻
l 2025年最大網絡攻擊及其對全球網路安全的影響,https://www.cm-alliance.com/cybersecurity-blog/biggest-cyber-attacks-of-2025-their-impact-on-global-cybersecurity
l Salesloft洩露事件剖析——檢測、回應與經驗教訓,https://permiso.io/blog/anatomy-of-the-salesloft-breach
ShinyHunters與UNC6395:揭秘Salesforce與Salesl
