AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ataque a la cadena de suministro compromete a dos grandes firmas de seguridad a través de Salesloft Drift**

admin

### 1. Introducción

En las últimas semanas, el ecosistema de ciberseguridad se ha visto sacudido por un sofisticado ataque a la cadena de suministro que ha afectado directamente a dos de las principales empresas del sector. El incidente tiene como epicentro a Salesloft Drift, una conocida aplicación SaaS orientada al marketing y la gestión de relaciones con clientes. La explotación de esta plataforma ha permitido a los atacantes comprometer a organizaciones downstream, demostrando una vez más la creciente efectividad de los ataques indirectos y la necesidad de adoptar una postura de seguridad Zero Trust en entornos donde los servicios de terceros son críticos.

### 2. Contexto del Incidente o Vulnerabilidad

Salesloft Drift, ampliamente utilizada por equipos de ventas y marketing para la automatización de procesos comerciales, cuenta con miles de clientes corporativos, incluidos actores relevantes en el sector de la ciberseguridad. El vector inicial del ataque se identificó en la integración API entre Drift y clientes corporativos, permitiendo a los atacantes aprovechar permisos excesivos y deficiencias en la gestión de tokens OAuth.

El incidente fue detectado tras la observación de actividad anómala en los paneles de administración de dos firmas de seguridad internacionales. Investigaciones posteriores revelaron que los atacantes habían obtenido acceso a través de credenciales comprometidas de la cuenta de Drift, utilizadas para orquestar movimientos laterales y alcanzar activos críticos en las redes de los clientes afectados.

### 3. Detalles Técnicos

El ataque se clasifica como un supply chain compromise (MITRE ATT&CK T1195), concretamente en su variante de explotación de software-as-a-service de terceros. Las Tácticas, Técnicas y Procedimientos (TTP) empleados incluyeron:

– **Vectores de ataque**: Abuso de OAuth tokens (CVE-2024-31578), explotación de API públicas mal configuradas y manipulación de flujos de autenticación SSO.
– **Herramientas utilizadas**: Se ha identificado el uso de frameworks automatizados como Metasploit para el reconocimiento y Cobalt Strike para el movimiento lateral y la persistencia post-explotación.
– **Indicadores de compromiso (IoC)**: Se detectaron conexiones salientes desde nodos internos a dominios asociados a infraestructuras de comando y control (C2) alojados en servidores cloud temporales; actividades de creación y borrado de logs vía API; y patrones de acceso a endpoints no documentados de Drift.
– **Versiones afectadas**: Todas las versiones de Drift integradas mediante OAuth previas a la actualización de seguridad 2024.06.21 están potencialmente expuestas. Se estima que al menos el 18% de los clientes empresariales de Drift podrían haber estado en riesgo durante la ventana de exposición.
– **Exploits conocidos**: Se han publicado exploits de prueba de concepto (PoC) en repositorios públicos, facilitando ataques de imitación tras la divulgación inicial.

### 4. Impacto y Riesgos

El impacto inmediato ha supuesto la exposición y posible exfiltración de datos sensibles de clientes, incluyendo información de contacto, conversaciones comerciales y credenciales API de acceso ampliado. En las dos firmas de seguridad afectadas, los atacantes lograron acceso a bases de datos internas y sistemas de ticketing, comprometiendo la confidencialidad de casos de clientes y detalles técnicos de incidentes previos.

El riesgo de escalada es significativo: la posibilidad de que los atacantes utilicen los datos exfiltrados para ataques dirigidos adicionales (spear phishing, BEC, etc.) o para la explotación de vulnerabilidades internas no parcheadas. Además, el incidente puede desencadenar obligaciones de notificación bajo GDPR y NIS2, con sanciones económicas potenciales que podrían oscilar entre el 2% y el 4% de la facturación anual global de las organizaciones afectadas.

### 5. Medidas de Mitigación y Recomendaciones

La respuesta inmediata debe centrarse en:

– **Revocación de todos los tokens OAuth asociados** y regeneración de credenciales API vinculadas a Drift.
– **Despliegue de controles de acceso granularizados** y revisión de permisos concedidos a aplicaciones de terceros.
– **Monitorización intensiva** de logs para detectar patrones de acceso anómalos y movimientos laterales.
– **Actualización a la última versión de Drift**, asegurando la aplicación de los últimos parches críticos.
– **Simulación de ataques internos** (purple teaming) para identificar posibles rutas de compromiso residual.
– **Implementación de segmentación de red** y Zero Trust para minimizar el alcance de futuras intrusiones.

### 6. Opinión de Expertos

Analistas de grandes SOC y consultores de firmas como Mandiant y SANS han señalado que este incidente representa una tendencia creciente: los atacantes priorizan la explotación de integraciones SaaS como punto de entrada, conscientes de la dificultad que supone para las empresas monitorizar y proteger adecuadamente estos entornos. Según datos recientes del ENISA Threat Landscape, los ataques a la cadena de suministro han aumentado un 38% en el último año, con un foco especial en plataformas SaaS y API.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este ataque es un recordatorio crítico de la necesidad de auditar periódicamente las integraciones de terceros y de limitar los privilegios de las aplicaciones SaaS. Los CISOs y responsables de cumplimiento deben reforzar los procesos de due diligence y exigir mayores garantías de seguridad a sus proveedores. Para los usuarios finales, el incidente subraya la importancia de la higiene digital y la adopción de autenticación multifactor en todos los accesos corporativos.

### 8. Conclusiones

El compromiso de dos grandes firmas de seguridad a través de una aplicación SaaS de marketing ilustra la sofisticación y el alcance de las amenazas actuales, especialmente aquellas que explotan la confianza depositada en la cadena de suministro digital. Solo un enfoque proactivo, basado en la monitorización continua, la mínima confianza y la segmentación, permitirá a las organizaciones mitigar los riesgos emergentes en el cambiante panorama de la ciberseguridad.

(Fuente: www.darkreading.com)