攻击者窃取了Palo Alto Networks、Cloudflare和Zscaler的Salesforce实例中的客户联系信息和案例数据。

安全内参9月4日消息，国际知名网络安全公司Palo Alto Networks、Cloudflare和Zscaler日前确认，其内部Salesforce实例在近期爆发的Salesforce–Salesloft Drift数据窃取行动中遭到黑客入侵。

Salesforce插件被黑引爆供应链危机

据悉，在8月8日至8月18日期间，黑客利用已被攻陷的第三方AI聊天机器人Salesloft Drift的OAuth令牌，从数百家组织的Salesforce实例中导出大量数据。

此次行动幕后的威胁行为者被谷歌追踪编号为UNC6395、Cloudflare追踪编号为GRUB1。其行动目标是窃取凭证及其他敏感信息，包括AWS访问密钥、密码及与Snowflake相关的访问令牌。

该行动于8月26日被公开，随后Salesforce禁用了与Salesloft的所有集成，而Salesloft则下线了Drift，以进行审查并增强其防护能力。

尽管最初的报告显示，只有使用Drift–Salesforce集成的组织受到影响，但谷歌威胁情报小组（GTIG）在8月28日披露，Google Workspace客户也同样受到波及。

9月2日，Palo Alto Networks、Cloudflare和Zscaler确认，它们是此次行动中Salesforce实例遭入侵的数百家组织之一。

三大网安巨头同时被黑

Palo Alto Networks表示：“Palo Alto Networks确认自己是此次受影响的数百家客户之一。这是一场针对Salesloft Drift应用的大规模供应链攻击，导致Salesforce数据泄露。我们已迅速控制事件，并在我们的Salesforce环境中禁用了该应用。”

该公司补充称：“攻击者主要窃取了业务联系信息和相关账号数据，以及内部销售账号记录和基础案例数据。我们正在直接通知所有受影响客户。”

在一份关于此次攻击的详细报告中，Cloudflare表示，黑客窃取了客户联系信息和基础支持案例数据，这可能暴露客户配置以及日志、令牌和密码等敏感信息。

Cloudflare指出：“作为事件应对的一部分，我们对被窃取的数据进行了自查，重点排查令牌和密码，并发现了104个Cloudflare API令牌。虽然未发现这些令牌存在可疑使用行为，但出于高度谨慎，我们已全部轮换。”

调查结果显示，黑客通过Salesloft集成凭证访问了其Salesforce实例，连续数天进行侦察查询，并于8月17日发起一次Salesforce Bulk API 2.0任务，仅在大约3分钟内就窃取了一份数据库。

Zscaler则表示，从其Salesforce实例中被盗的客户数据包括姓名、商务邮箱地址、电话号码、职位、位置信息、授权信息，以及部分支持案例中的明文内容。

Cloudflare总结称：“我们认为此次事件并非孤立，而是威胁行为者有计划地收集凭证和客户信息，以便在未来发动攻击。鉴于有数百家组织因Drift遭攻陷而受影响，我们怀疑该威胁行为者将利用这些信息，对受影响组织的客户展开定向攻击。”

参考资料：securityweek.com

互联网已经裸奔了四个月？三张1.1.1.1幽灵证书引发信任危机

近日，一则惊人的消息在互联网安全圈内炸开了锅：被誉为“互联网最快DNS服务”的Cloudflare1.1.1.1，其三份TLS证书竟被一家名不见经传的机构违规签发。这批“幽灵证书”已悄然存在四月之久，直到近日才被曝光。

这意味着，理论上攻击者可以利用这些证书解密用户的加密DNS查询（DNS over HTTPS），甚至可能危及Cloudflare旗下的WARP VPN服务。这不仅仅是Cloudflare的“后院起火”，更是对整个互联网公钥基础设施（PKI）信任体系的一次沉重打击。

微软被“幽灵证书”附体

据悉，这三份问题证书早在今年5月就已被签发，但整整四个月后，警报才在本周三的一个在线论坛上拉响。这些证书的签发机构是Fina RDC 2020，一家根证书持有者 Fina Root CA的下级证书颁发机构（CA）。

要命的是，Fina Root CA居然在微软的根证书信任计划中。这意味着，所有Windows操作系统和Edge浏览器（约占全球5%的浏览器市场份额）都默认信任了这些“幽灵证书”。也就是说，过去四个月里，数以千万计的Windows用户一直暴露在潜在的中间人攻击风险之下，却浑然不知。

事件曝光后，微软迅速发表声明，表示已“要求该证书颁发机构立即采取行动”，并将通过“禁止列表”来阻止这些证书，以保护用户安全。但对于为何在长达四个月的时间里未能发现这一严重失误，微软方面却讳莫如深，未作解释。

相比之下，谷歌和Mozilla则显得更为从容。他们纷纷表示，Chrome和Firefox浏览器从未信任过这家CA，因此用户无需采取任何措施。至于苹果的证书信任计划是否受到影响，目前尚不得而知。而究竟是谁申请并获得了这些证书，至今仍是一个谜。

几张证书，何以掀起惊涛骇浪？

几张“不起眼”的数字证书，威力真有这么大吗？

答案是肯定的。TLS证书是互联网信任体系的核心，它的作用相当于一个网站的“数字身份证”，将域名和公钥绑定在一起。任何持有有效TLS证书的人，都可以在密码学层面冒充该证书对应的域名。

网络安全专家、Peculiar Ventures的CEO Ryan Hurst指出，手握这三份1.1.1.1证书的攻击者，可以发动一场大规模的“中间人攻击”（Adversary-in-the-Middle）。

具体来说，攻击者可以通过BGP劫持（一种篡改互联网路由信息的攻击手段）将用户访问1.1.1.1的流量导向自己控制的服务器。由于他们持有“合法”的证书，用户的设备会毫无察觉地建立连接。届时，用户通过DNS over HTTPS发送的所有加密DNS查询都将被攻击者解密、窥探甚至篡改。Hurst补充说，Cloudflare的WARP VPN服务也可能面临同样的威胁。

互联网信任链塌房

这次事件暴露了当前互联网信任体系中令人不寒而栗的系统性漏洞。

首先，证书颁发机构（CA）的失职是问题的根源。 按照规定，CA在签发证书前，必须验证申请者对所申请地址的控制权，并记录下验证时使用的IP地址。但这三份问题证书中，这些关键信息全部缺失。

其次，微软的失察难辞其咎。 作为平台方，微软的根证书信任计划理应是守护用户安全的最后一道防线。让有问题的证书在Windows生态内“裸奔”了四个月，这无疑是一个巨大的疏漏。

最后，就连Cloudflare和整个PKI生态圈也并非全无干系。 为了快速发现类似问题，所有签发的证书都会被发布到公开的“证书透明度日志”（Certificate Transparency Log）中，供各方监督。但这批证书发布了四个月后才被公众发现，这表明本应被密切关注的透明度日志，在现实中并未得到应有的重视。

这起事件为整个互联网敲响了警钟。它再次证明，看似牢不可破的数字信任体系，实际上建立在一系列脆弱的“纸牌屋”之上。当链条中的任何一环出现疏漏，其后果都可能是灾难性的。信任一旦出现裂痕，重建将异常艰难。

参考链接：

https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/SgwC1QsEpvc

文章来源 ：安全内参、GoUpSec