Cloudflare已公開披露,它是一項重大供應鏈攻擊的受害者,該供應鏈從其Salesforce系統中暴露了客戶支持數據。違規行為發生在2025年8月12日至8月17日之間,源自第三方供應商Salesloft的妥協。
攻擊者使用了Salesloft的Drift drift AI Chatbot集成訪問和竊取支持案例的文本內容的攻擊者使用了被盜的身份驗證令牌。該數據包括客戶聯繫信息和客戶可能與支持團隊共享的潛在敏感憑證。
Cloudflare已通知了所有受影響的客戶,並敦促他們通過其支持渠道旋轉任何證書。該公司的核心服務,基礎架構和客戶網絡不受此違規的影響。
href=“ https://blog.cloudflare.com/response-to-salesloft-drift-incident/” target=“ _ blank”>事件顯示了與第三方軟件集成相關的風險的增長。攻擊向量不是對Cloudflare的直接攻擊,而是通過受信任的合作夥伴進行的複雜樞軸。 target=“ _ blank”>違反了銷售自動化平台銷售匯率。他們專門針對其漂移AI聊天機器人集成,以竊取Oauth和刷新令牌。這些代幣授予他們訪問Salesloft客戶的Salesforce環境。
Cloudflare的詳細時間表揭示了一種有條理的方法。在8月9日進行初次偵察之後,該演員被稱為Grub1,使用被盜的證書來枚舉Cloudflare Salesforce環境中的物體。在接下來的幾天中,他們進行了特定的查詢以了解數據結構和API限制。
在8月17日,演員切換到新的基礎架構,並使用Salesforce Bulk API 2.0工作來剝奪文本的文本,以在短短三分鐘內從支持案例中刪除支持案例,然後在短短三分鐘內,然後嘗試刪除賽道,以覆蓋他們的賽道。暴露的
漏洞僅限於Salesforce“ case”對象,其中包含客戶與Cloudflare的支持和銷售團隊之間的基於文本的信件。未訪問附件。
暴露的數據包括案例主題行,姓名和電子郵件地址等客戶聯繫方式以及案例通信的完整機構。這是違反客戶的最關鍵方面。
Cloudflare明確警告說:“客戶可能會在我們的支持系統中與Cloudflare共享的任何信息(包括日誌,代幣或密碼)都應被視為妥協。預防措施。
威脅行為者的目標不是隨機數據收集,而是針對憑證收穫。 Palo Alto Networks的第42單元的研究人員指出,攻擊者正在積極掃描獲得的數據中的秘密,包括AWS訪問鍵和雪花令牌,使用“密碼”或“鍵”或“鍵” {{u05}}} {{u05}}}的關鍵字。
對
該活動是對使用脆弱的SalesLoft集成對任何組織的廣泛機會攻擊。 Palo Alto網絡也確認它是同一攻擊的受害者,是同一攻擊
受到廣泛供應鏈攻擊影響的客戶,針對曝光Salesforce數據的SalesLoft Drift應用程序的客戶,強調了事件的規模。更廣泛的廣告系列從2025年8月8日至18日進行,{{u06}}。 href=“ https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-instances-instances-salesloft-drift-drift” target=“ _ black”>展示的操作安全意識通過試圖隱藏他們的活動來揭示他們的活動。在敏感信息上,例如AWS訪問密鑰,密碼和與雪花有關的訪問令牌。 “該公司解釋說。 This suggests the stolen data could be weaponized in subsequent, targeted attacks.
Cloudflare’s Response and Urgent Recommendations
Cloudflare published a detailed post-mortem on September 2,對安全失誤的全部責任。
“我們負責選擇用於支持業務的工具,”該公司寫道,並補充說:“這種違規使我們的客戶失望了。為此,我們真誠道歉。 “這種透明度是管理後果的關鍵步驟。
公司的響應超出了簡單的證書旋轉。其安全團隊清除了從系統的所有SalesLoft軟件和瀏覽器擴展,以減輕持久性的風險,並將其安全審查擴展到與Salesforce連接的所有第三方服務。
CloudFlare現在為所有組織提供緊急建議。它建議斷開SalesLoft應用程序,旋轉與Salesforce連接的所有第三方憑據,並查看任何暴露敏感信息的支持案例數據。