خانه » سرقت توکن‌های OAuth از Klue داده‌های سامانه مدیریت ارتباط با مشتری سیلزفورس را افشا کرد

سرقت توکن‌های OAuth از Klue داده‌های سامانه مدیریت ارتباط با مشتری سیلزفورس را افشا کرد

توسط Vulnerbyte_News
15 بازدید

یک مهاجم سایبری با نفوذ به شرکت ارائه‌دهنده راهکارهای هوش رقابتی Klue، موفق به سرقت توکن‌های OAuth مورد استفاده مشتریان برای اتصال این پلتفرم به سیلزفورس (Salesforce) و سایر سرویس‌های شخص ثالث شد. سپس این مهاجم با سوءاستفاده از توکن‌های سرقت‌شده به داده‌های چندین سامانه مشتری دسترسی یافت؛ رخدادی که Klue را وادار کرد تمامی توکن‌های OAuth سرقت‌شده را باطل کرده و یکپارچه‌سازی‌های تحت تأثیر را غیرفعال کند.

بررسی‌ها نشان می‌دهد نقطه ورود اولیه مهاجم، یک اعتبارنامه قدیمی متعلق به یکی از سرویس‌های یکپارچه‌سازی بود که با وجود کنار گذاشته شدن آن سرویس، هرگز غیرفعال نشده بود. مهاجم پس از دسترسی به زیرساخت Klue، توکن‌های احراز هویت مشتریان را جمع‌آوری کرد و از آن‌ها برای دسترسی به داده‌های سامانه‌های مدیریت ارتباط با مشتری (CRM) و استخراج بخشی از این اطلاعات بهره برد.

Klue اعلام کرد این رخداد امنیتی را در 12 ژوئن شناسایی کرده و یک هفته بعد جزئیات آن را از طریق وبلاگ رسمی شرکت منتشر کرده است.

تأثیر حمله بر مشتریان Klue و واکنش سیلزفورس

دامنه این رخداد تنها به Klue محدود نشد و حساب‌های سیلزفورس متعلق به شرکت‌های امنیت سایبری Huntress و Recorded Future نیز در پی سوءاستفاده از توکن‌های OAuth تحت تأثیر قرار گرفتند. تاکنون Klue اعلام نکرده است چه تعداد از سایر مشتریان این شرکت تحت تأثیر این رخداد قرار گرفته‌اند. سیلزفورس در واکنش به این رخداد، با غیرفعال کردن اتصال اپلیکیشن Klue Battlecards به پلتفرم خود، اعلام کرد که سازمان‌ها تا اطلاع ثانوی امکان اتصال مجدد از طریق این اپلیکیشن را نخواهند داشت.

این شرکت در بیانیه‌ای اعلام کرد: «تیم‌های امنیتی ما به‌تازگی فعالیت غیرعادی مرتبط با اپلیکیشن Klue را شناسایی کرده‌اند؛ فعالیتی که ممکن است از طریق اتصال این اپلیکیشن به سیلزفورس، دسترسی غیرمجاز به بخشی از داده‌های مشتریان را فراهم کرده باشد. بررسی‌های انجام‌شده نشان می‌دهد این رخداد تنها به اتصال اپلیکیشن Klue محدود می‌شود و هیچ شواهدی مبنی بر وجود آسیب‌پذیری در پلتفرم سیلزفورس وجود ندارد.»

Klue کد غیرمجاز را از زیرساخت خود حذف کرد

مدیرعامل Klue اعلام کرد این شرکت پس از شناسایی رخداد امنیتی، مجموعه‌ای از اقدامات فوری را برای کنترل پیامدهای آن در دستور کار قرار داده است. این اقدامات شامل ابطال اعتبارنامه‌ها و توکن‌های OAuth، غیرفعال‌سازی یکپارچه‌سازی‌های تحت تأثیر، اطلاع‌رسانی به نهادهای مجری قانون و حذف کد غیرمجاز از زیرساخت‌های شرکت می‌شود.

با این حال، Klue جزئیاتی درباره ماهیت این کد، نحوه ورود آن به سامانه‌ها یا عملکرد آن منتشر نکرد. همچنین این شرکت در پاسخ به درخواست رسانه‌ها برای ارائه اطلاعات بیشتر درباره فرآیند شناسایی و حذف این کد، توضیحی ارائه نداد.

Huntress نحوه سرقت توکن‌های OAuth را تشریح کرد

شرکت امنیت سایبری Huntress که خود یکی از مشتریان Klue است، با انتشار نتایج تحقیقات مستقل خود، جزئیات تازه‌ای از نحوه اجرای این حمله منتشر کرد. بر اساس این گزارش، مهاجمان با اعمال یک به‌روزرسانی کد در یکی از سامانه‌های یکپارچه‌سازی Klue، کدی را مستقر کردند که با هدف سرقت توکن‌های OAuth مشتریان طراحی شده بود. تیم فنی Klue نیز پس از شناسایی این کد سرقت توکن، آن را از زیرساخت شرکت حذف کرد.

بررسی‌های Huntress نشان می‌دهد نقطه ورود اولیه مهاجمان، یک اعتبارنامه قدیمی بود که Klue در گذشته برای آزمایش یک یکپارچه‌سازی با یک سرویس شخص ثالث ایجاد کرده بود. با وجود کنار گذاشته شدن این پروژه، اعتبارنامه مربوطه هرگز غیرفعال نشد و همین موضوع فرصت لازم را برای آغاز حمله فراهم کرد.

به گفته Huntress، عامل تهدید با سوءاستفاده از این اعتبارنامه، ابتدا به زیرساخت Klue دسترسی پیدا کرد و سپس با انجام حرکت جانبی (Lateral Movement)، دامنه دسترسی خود را در بخش‌های مختلف زیرساخت گسترش داد. مهاجم پس از جمع‌آوری توکن‌های مشتریان، با استفاده از آن‌ها درخواست‌های متعددی را به سامانه‌های مدیریت ارتباط با مشتری (CRM) ارسال کرد و در نهایت داده‌های این سامانه‌ها را استخراج نمود.

در ادامه این رخداد، Klue اتصال خود با سرویس‌های سیلزفورس، هاب‌اسپات (HubSpot)، شیرپوینت (SharePoint)، زوم (Zoom)، گانگ (Gong)، کورس (Chorus)، کلاری (Clari)، گوگل درایو (Google Drive) و اسلک (Slack) را متوقف کرد و در تاریخ 13 ژوئن با انتشار یک هشدار عمومی، مشتریان خود را از این رخداد مطلع ساخت.

Huntress در گزارش خود تأکید کرد هشدار منتشرشده از سوی Klue مشخص نمی‌کرد کدام مشتریان تحت تأثیر این رخداد قرار گرفته‌اند و نام هیچ‌یک از سازمان‌های متأثر نیز منتشر نشده بود.

استخراج داده‌ها طی 24 ساعت از طریق API سیلزفورس

شرکت امنیت سایبری ReliaQuest نیز در تحلیل خود، جزئیات بیشتری از نحوه استخراج داده‌های CRM از سیلزفورس منتشر کرد. بر اساس این گزارش، مهاجم ابتدا با احراز هویت در حساب‌های سرویس یکپارچه‌سازی Klue متعلق به قربانیان، توکن‌های OAuth را تولید کرد و سپس با اجرای اسکریپت‌های خودکار پایتون (Automated Python Scripts)، به مدت حدود 24 ساعت درخواست‌های متعددی را از طریق رابط برنامه‌نویسی REST سیلزفورس به این سامانه ارسال کرد تا داده‌های مشتریان را استخراج کند.

بر اساس تحلیل ReliaQuest، الگوی فعالیت مهاجم با استخراج انبوه داده‌ها مطابقت داشت و با ترافیک عادی یکپارچه‌سازی تفاوت محسوسی نشان می‌داد. این شرکت تأکید کرد بدون ثبت و بررسی لاگ‌های لایه API تشخیص این الگوی فعالیت تقریباً غیرممکن بود.

ReliaQuest از سازمان‌هایی که از یکپارچه‌سازی Klue با سیلزفورس استفاده می‌کنند، خواست برای کاهش ریسک، اقدامات زیر را انجام دهند:

  • ابطال و جایگزینی تمامی توکن‌های OAuth و رفرش توکن‌ها (Refresh Tokens) مرتبط با این یکپارچه‌سازی.
  • بررسی لاگ‌های API سیلزفورس برای شناسایی حجم غیرعادی درخواست‌ها و فعالیت‌های مشکوک.
  • محدود کردن دسترسی حساب‌های مربوط به یکپارچه‌سازی‌های شخص ثالث به محدوده‌های IP مجاز.

ReliaQuest در پایان هشدار داد: «هر اپلیکیشن شخص ثالث که از طریق OAuth به یک پلتفرم حیاتی مانند سیلزفورس دسترسی دارد، بخشی از سطح حمله (Attack Surface) سازمان محسوب می‌شود. بنابراین این اپلیکیشن‌ها باید به‌دقت شناسایی و بررسی شوند، فعالیت آن‌ها به‌طور مستمر بررسی شود و دسترسی آن‌ها بر اساس اصل حداقل سطح دسترسی تنظیم گردد.»

چه اطلاعاتی از مشتریان Klue افشا شد؟

شرکت امنیت سایبری Huntress تأیید کرد که یکی از مشتریان Klue بوده و در این رخداد تحت تأثیر قرار گرفته است. به گفته این شرکت، مهاجمان با سوءاستفاده از توکن‌های OAuth به اطلاعاتی شامل اطلاعات تماس تجاری، پیشنهادهای قیمت (Price Quotes) و سوابق ارتباطات فروش ذخیره‌شده در حساب سیلزفورس دسترسی پیدا کردند.

Huntress در عین حال تأکید کرد رمزهای عبور، اطلاعات کارت‌های پرداخت، داده‌های هوش تهدید (Threat Intelligence) و داده‌های تله‌متری محصولات در این رخداد افشا نشده‌اند و هیچ‌گونه دسترسی غیرمجازی به محصولات یا زیرساخت‌های این شرکت صورت نگرفته است.

شرکت امنیت سایبری Recorded Future نیز اعلام کرد بخشی از داده‌های موجود در حساب سیلزفورس این شرکت در معرض دسترسی غیرمجاز قرار گرفته است.

Recorded Future در بیانیه خود اعلام کرد: «تمام شواهد موجود نشان می‌دهد این شرکت هدف مستقیم مهاجمان نبوده و صرفاً به دلیل استفاده از یکپارچه‌سازی آلوده میان سیلزفورس و Klue، به‌صورت ناخواسته تحت تأثیر این رخداد قرار گرفته است. »

به گفته این شرکت، دامنه اطلاعات افشاشده به نام مخاطبان، آدرس‌های ایمیل و احتمالاً بخشی از اطلاعات قراردادها محدود بوده و هیچ نشانه‌ای از دسترسی به سایر داده‌های حساس مشاهده نشده است.

الگوی حمله مبتنی بر سوءاستفاده از توکن‌های OAuth

شرکت امنیت سایبری Huntress در بررسی‌های خود، این حمله را به یک گروه اخاذی نوظهور با نام Icarus نسبت داد. به گفته این شرکت، شناسه‌های پیام‌رسان Session که در ایمیل‌های اخاذی مورد استفاده قرار گرفته بودند، با شناسه‌های منتشرشده در وب‌سایت افشای اطلاعات این گروه در دارک وب مطابقت داشتند.

بر اساس گزارش Huntress، گروه Icarus در 19 ژوئن نام Klue را در وب‌سایت خود منتشر کرد و مدعی شد داده‌های سیلزفورس متعلق به تعدادی از شرکت‌های همکار تجاری Klue را استخراج کرده است.

همچنین Huntress هشدار داد این گروه ممکن است به‌طور مستقیم با سازمان‌های متأثر از این رخداد تماس بگیرد. از همین رو، به مشتریان Klue توصیه شده است پیام‌ها و ایمیل‌های ناشناس را با دقت بررسی کنند و پوشه اسپم (Spam) خود را نیز برای یافتن پیام‌های مرتبط کنترل کنند.

به گفته Huntress، شیوه اجرای این حمله از نظر سوءاستفاده از توکن‌های OAuth شباهت زیادی به رخدادهای سال 2025 علیه Salesloft، Drift و Gainsight دارد؛ حملاتی که پیش‌تر به گروه‌های ShinyHunters و UNC6395 نسبت داده شده بودند. با این حال، این شرکت اعلام کرد شواهد موجود برای انتساب مستقیم حمله به Klue به هیچ‌یک از این دو گروه کافی نیست.

Huntress در پایان هشدار داد: «سوءاستفاده از OAuth اکنون به روشی تکرارپذیر و مؤثر و یکی از تاکتیک‌های رایج مهاجمان سایبری تبدیل شده است. »

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید