AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Salesforce revoca tokens de aplicaciones Gainsight tras una oleada de robos de datos

admin

Introducción

Salesforce, uno de los principales proveedores globales de soluciones CRM en la nube, ha anunciado la revocación inmediata de los tokens de actualización (refresh tokens) asociados a aplicaciones publicadas por Gainsight. Esta medida se produce en respuesta a una reciente serie de ataques dirigidos a clientes de Salesforce, donde actores maliciosos han explotado estos tokens para acceder de manera no autorizada a datos sensibles. El incidente ha puesto en alerta a la comunidad de ciberseguridad, revelando nuevas superficies de ataque en entornos SaaS y resaltando la importancia de la gestión segura de tokens de autenticación.

Contexto del Incidente

El incidente fue detectado a finales de junio de 2024, cuando varios clientes de Salesforce reportaron accesos sospechosos y actividades anómalas en sus entornos, vinculadas a las aplicaciones desarrolladas y publicadas por Gainsight, una reconocida plataforma de gestión de experiencia de cliente y éxito del cliente. Gainsight integra sus aplicaciones con Salesforce mediante OAuth 2.0, permitiendo a los usuarios conectar cuentas de forma segura y automatizar flujos de datos críticos.

Los primeros indicios apuntan a una campaña de robo de datos (data exfiltration) dirigida específicamente a clientes de alto valor, donde los atacantes lograron obtener y reutilizar refresh tokens para eludir los controles de sesión y persistir en el acceso a sistemas protegidos.

Detalles Técnicos

La investigación interna de Salesforce se centra en la explotación de los refresh tokens emitidos durante el proceso de autenticación OAuth 2.0, mecanismo ampliamente utilizado en aplicaciones SaaS para autorizar el acceso a recursos sin compartir credenciales. Los tokens comprometidos permitían a los atacantes obtener nuevos access tokens y acceder a datos protegidos incluso después de que los usuarios finales hubieran cerrado sesión o cambiado contraseñas.

Aunque hasta el momento no se ha publicado un CVE específico vinculado a esta campaña, las técnicas y tácticas observadas se alinean con los vectores definidos en MITRE ATT&CK, particularmente las técnicas T1550 (Use Alternate Authentication Material) y T1078 (Valid Accounts). Los atacantes han empleado técnicas de spear phishing para obtener credenciales o tokens iniciales, seguidas de movimientos laterales aprovechando permisos excesivos en aplicaciones conectadas.

Indicadores de compromiso (IoC) identificados incluyen:

– Direcciones IP asociadas a infraestructura de AWS y Azure anómalas para la operativa habitual.
– Actividades de autenticación fuera del horario laboral o desde ubicaciones geográficas inusuales.
– Solicitudes repetidas de refresh tokens y uso de scopes elevados.

Se han detectado scripts y módulos personalizados en frameworks como Metasploit y Cobalt Strike, orientados a automatizar la recolección de tokens OAuth y su reutilización en APIs de Salesforce.

Impacto y Riesgos

El alcance del incidente afecta a un porcentaje estimado del 2% de la base de clientes de Salesforce que utiliza aplicaciones Gainsight integradas, lo que podría suponer la exposición de datos personales, registros de actividad, información financiera y otros activos críticos gestionados en Salesforce. En algunos casos, los atacantes han logrado persistencia durante varios días antes de ser detectados.

El impacto potencial incluye:

– Acceso y exfiltración de datos confidenciales sujetos a GDPR y otras normativas de protección de datos.
– Riesgo de movimientos laterales hacia otros sistemas conectados a Salesforce.
– Exposición de secretos de API, credenciales administrativas y configuraciones sensibles.

Se estima que el coste medio de contención y respuesta por cliente afectado podría superar los 100.000 euros, sin contabilizar posibles sanciones regulatorias bajo GDPR o NIS2.

Medidas de Mitigación y Recomendaciones

Salesforce ha procedido a la revocación masiva de todos los refresh tokens emitidos a través de aplicaciones Gainsight, forzando la reautenticación de los usuarios y bloqueando sesiones potencialmente comprometidas. Adicionalmente, se recomienda a los administradores:

– Revisar y restringir permisos de las aplicaciones conectadas en Salesforce App Manager.
– Implementar políticas de expiración y revocación proactiva de tokens OAuth.
– Monitorizar logs de autenticación en busca de patrones anómalos, empleando SIEMs y reglas de detección personalizadas.
– Habilitar MFA (multi-factor authentication) obligatoria para todos los accesos privilegiados.
– Revisar la configuración de scopes OAuth y limitar el acceso a datos estrictamente necesarios.

Gainsight ha lanzado actualizaciones de seguridad y publicado guías para la rotación segura de credenciales y la revisión de integraciones con terceros.

Opinión de Expertos

Expertos en ciberseguridad como José Luis Fernández, analista senior de amenazas en S21sec, advierten que “la proliferación de ataques a la cadena de suministro SaaS pone de manifiesto la necesidad de controles más granulares sobre tokens y permisos delegados. La gestión inadecuada de OAuth es ya uno de los principales vectores de riesgo en entornos cloud.”

Por su parte, Marta García, CISO de una multinacional tecnológica, subraya: “Las integraciones con aplicaciones de terceros deben auditarse periódicamente. El enfoque zero trust y el principio de mínimo privilegio son imprescindibles para reducir la superficie de exposición.”

Implicaciones para Empresas y Usuarios

El incidente refuerza la tendencia al alza de ataques dirigidos al ecosistema SaaS, donde la dependencia de tokens de acceso y refresh tokens representa un reto para la seguridad operacional. Las empresas deben revisar sus políticas de integración, exigir pruebas de seguridad a proveedores y garantizar la visibilidad de accesos y actividades en tiempo real.

A nivel de cumplimiento, la exposición de datos personales podría conllevar notificaciones a la Agencia Española de Protección de Datos (AEPD) y a los clientes afectados, así como la revisión de contratos con terceros conforme a GDPR y NIS2.

Conclusiones

La revocación de tokens por parte de Salesforce tras el ataque a aplicaciones Gainsight evidencia la sofisticación de las amenazas actuales en entornos SaaS y la importancia de la gestión segura de identidades y permisos. La monitorización continua, la reducción de privilegios y la colaboración proactiva entre clientes y proveedores son claves para mitigar riesgos y responder eficazmente ante incidentes similares.

(Fuente: www.bleepingcomputer.com)