Cảnh báo: Nhóm tin tặc ShinyHunters khai thác lỗ hổng niềm tin để tấn công Salesforce
Trong suốt một năm qua, các nhóm tin tặc liên quan đến ShinyHunters đã thực hiện hàng loạt vụ đánh cắp dữ liệu trên Salesforce mà không cần dùng đến bất kỳ exploit hay malware nào. Thay vào đó, chúng...
Một chiến dịch tấn công kéo dài từ giữa năm 2025 đến giữa năm 2026 đã nhắm mục tiêu vào các môi trường doanh nghiệp sử dụng Salesforce. Đáng chú ý, các đối tượng tấn công không hề sử dụng mã độc hay khai thác các lỗ hổng phần mềm (zero-day), mà thay vào đó, chúng tận dụng chính sự tin tưởng của hệ thống đối với các ứng dụng bên thứ ba và người dùng.
Table Of Content
Ba con đường xâm nhập chính
Theo nghiên cứu từ Microsoft, các cuộc tấn công này tập trung vào ba phương thức chủ đạo:
- Vishing (Voice Phishing): Tin tặc giả danh nhân viên hỗ trợ kỹ thuật để lừa người dùng phê duyệt các ứng dụng độc hại thông qua màn hình cấp quyền OAuth.
- Đánh cắp OAuth token: Tấn công vào các nhà cung cấp phần mềm bên thứ ba để chiếm đoạt token truy cập, từ đó xâm nhập vào hệ thống Salesforce của khách hàng mà không gây nghi ngờ.
- Lạm dụng quyền truy cập khách (Guest Access): Khai thác các cấu hình sai trên các trang Experience Cloud, cho phép kẻ gian truy xuất dữ liệu mà không cần xác thực.
Tại sao phương thức này lại hiệu quả?
Điểm khó khăn trong việc phát hiện các cuộc tấn công này nằm ở chỗ mọi hoạt động đều diễn ra thông qua các kênh được ủy quyền. Khi một ứng dụng đã được cấp quyền OAuth, các hệ thống giám sát đăng nhập thông thường sẽ coi lưu lượng truy cập này là hoạt động hợp lệ. Các công cụ bảo mật truyền thống vốn được thiết kế để kiểm soát đăng nhập của con người (như MFA hay chính sách phiên làm việc) thường bỏ qua các ứng dụng tích hợp và tài khoản dịch vụ.
Các vụ việc nổi bật bao gồm sự cố tại Salesloft và Gainsight, nơi tin tặc chiếm được token của các ứng dụng tích hợp AI, gây ảnh hưởng đến hàng trăm tổ chức lớn như Cloudflare, Zscaler và Palo Alto Networks.
Giải pháp phòng thủ từ Microsoft và Salesforce
Để đối phó, Microsoft đã phối hợp với Salesforce để nâng cấp khả năng giám sát trong Defender for Cloud Apps. Các tính năng mới bao gồm:
- Real-Time Event Monitoring: Giám sát hoạt động theo thời gian thực để phát hiện các hành vi bất thường từ ứng dụng tích hợp.
- Phân quyền ứng dụng: Cung cấp cái nhìn chi tiết về các ứng dụng có quyền truy cập cao, đồng thời chấm điểm rủi ro (risk score) cho từng ứng dụng.
- Quản lý vòng đời: Tự động phát hiện và loại bỏ các ứng dụng không hoạt động trong hơn 90 ngày nhưng vẫn giữ quyền truy cập.
Lời khuyên từ các chuyên gia an ninh mạng là doanh nghiệp cần thực hiện kiểm kê định kỳ các kết nối OAuth, áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) và sẵn sàng thu hồi token ngay khi phát hiện dấu hiệu bất thường từ các ứng dụng tích hợp.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.