AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Brecha en Salesloft: ShinyHunters compromete integraciones OAuth y pone en riesgo entornos Salesforce

admin

Introducción

El ecosistema de integraciones SaaS vuelve a estar en el punto de mira tras el reciente incidente que ha comprometido la plataforma de automatización de ventas Salesloft. El grupo de extorsión ShinyHunters ha reivindicado la autoría de un ataque sofisticado que ha permitido la exfiltración de tokens OAuth y refresh tokens asociados a la integración del agente de chat Drift con Salesforce. Este incidente no solo afecta a la propia Salesloft, sino que introduce un vector de ataque crítico para los clientes empresariales que confían en la automatización y el intercambio seguro de datos en plataformas como Salesforce.

Contexto del Incidente

El ataque, detectado a principios de junio de 2024, ha permitido a los actores maliciosos pivotar desde Salesloft hacia entornos de clientes a través de integraciones legítimas, explotando la relación de confianza entre aplicaciones SaaS mediante OAuth 2.0. Las primeras investigaciones apuntan a que la brecha se inició comprometiendo la integración de Drift, un popular agente de chat utilizado para la interacción con clientes en tiempo real y conectado de forma directa con Salesforce para automatizar la gestión de leads y datos comerciales.

Salesloft, con una base de clientes que supera los 5.000 entornos empresariales y una integración extensa con Salesforce, ha confirmado que el alcance del incidente se limita a clientes que tenían habilitada la integración Drift-Salesforce. Sin embargo, la naturaleza del ataque y la capacidad de ShinyHunters para aprovechar credenciales OAuth válidas elevan el nivel de preocupación en todo el sector.

Detalles Técnicos

El vector de ataque se ha centrado en la obtención y uso malicioso de tokens OAuth y refresh tokens. Estos elementos permiten a aplicaciones de terceros acceder de forma persistente a recursos protegidos en Salesforce sin requerir credenciales adicionales, conforme a los principios del estándar OAuth 2.0.

– **CVE y vulnerabilidades relacionadas**: Hasta la fecha, no se ha asignado un CVE específico al incidente, pero el ataque explota una debilidad inherente en la gestión y protección de tokens de acceso y actualización en integraciones SaaS.
– **Tácticas y técnicas MITRE ATT&CK**: El ataque se alinea principalmente con las técnicas T1550 (Use Alternate Authentication Material) y T1078 (Valid Accounts), permitiendo a los atacantes eludir controles de autenticación y moverse lateralmente por entornos cloud.
– **Indicadores de compromiso (IoC)**: Se han detectado accesos sospechosos a APIs de Salesforce desde direcciones IP no habituales, actividad anómala en logs de OAuth y peticiones inusuales a endpoints de Drift y Salesforce.
– **Herramientas y frameworks**: Aunque no se ha confirmado el uso de frameworks públicos como Metasploit o Cobalt Strike, la sofisticación de la intrusión sugiere la posible utilización de herramientas personalizadas para la recolección y explotación de tokens OAuth.

Impacto y Riesgos

El impacto del incidente es significativo tanto a nivel de confidencialidad como de integridad de los datos. El acceso a tokens OAuth permite a los atacantes:

– Exfiltrar datos sensibles directamente desde Salesforce, incluyendo información de clientes, oportunidades comerciales y registros de interacción.
– Mantener persistencia en los entornos afectados incluso tras un cambio de credenciales, hasta que los tokens sean revocados manualmente.
– Utilizar los permisos asignados a la integración (scope) para ejecutar acciones en nombre de los usuarios legítimos.
– Potencial cumplimiento de amenazas adicionales, como movimientos laterales hacia otras aplicaciones integradas o explotación de privilegios elevados.

Según estimaciones preliminares, entre un 10% y un 15% de los clientes de Salesloft con integraciones Drift-Salesforce podrían estar afectados. Dada la sensibilidad de los datos gestionados en Salesforce, el coste potencial de una fuga de información puede superar fácilmente los 500.000 euros por organización, especialmente bajo la lupa de normativas como el RGPD (Reglamento General de Protección de Datos) y la inminente directiva NIS2.

Medidas de Mitigación y Recomendaciones

Salesloft y Salesforce han emitido recomendaciones urgentes:

– Revocar todos los tokens OAuth y refresh tokens asociados a la integración Drift-Salesforce.
– Auditar los registros de acceso a APIs en busca de actividad anómala desde el 1 de junio de 2024.
– Reforzar la autenticación multifactor (MFA) en todos los accesos a plataformas SaaS.
– Limitar los permisos asignados a integraciones de terceros bajo el principio de mínimo privilegio.
– Monitorizar y automatizar alertas sobre creación y uso de nuevos tokens OAuth.
– Revisar las políticas de retención y expiración de tokens y considerar rotaciones más frecuentes.

Opinión de Expertos

Especialistas en ciberseguridad destacan que estos ataques ponen de manifiesto una debilidad estructural creciente en la gestión de identidades y accesos en entornos SaaS. “Los tokens OAuth son el eslabón más débil del ecosistema cloud actual. Si no se gestionan y monitorizan adecuadamente, se convierten en puertas traseras extremadamente difíciles de detectar”, señala Javier Gómez, analista SOC y colaborador de la comunidad OWASP.

Implicaciones para Empresas y Usuarios

Las empresas que utilizan integraciones SaaS deben revisar de inmediato sus políticas de gestión de tokens y su estrategia de monitorización. La tendencia de ataques a la cadena de suministro software y a las integraciones API seguirá al alza, especialmente con el auge de plataformas low-code y no-code, donde los controles de seguridad suelen ser menos rigurosos.

Además, la exposición a sanciones regulatorias bajo el RGPD y NIS2 refuerza la necesidad de transparencia y notificación temprana ante incidentes de este calibre.

Conclusiones

El ataque a Salesloft, orquestado por ShinyHunters, confirma el creciente interés de los grupos de cibercrimen en explotar integraciones SaaS y credenciales OAuth como vector de entrada a entornos empresariales críticos. La respuesta inmediata y proactiva de los equipos de seguridad será clave para contener el impacto y evitar una escalada de daños y sanciones regulatorias.

(Fuente: www.bleepingcomputer.com)