Supply-Chain-Angriff über Salesloft Drift trifft Security-Branche
Cyberkriminelle haben Authentifizierungstokens der KI-Plattform Salesloft Drift entwendet. Die Plattformbetreiber warnen vor Angriffen auf Salesforce-CRM und raten dringlichst, Gegenmassnahmen gegen weitere Angriffe vorzunehmen.
Kriminelle Hacker haben während eines Angriffs auf Salesloft Drift Authentifizierungstokens gestohlen, wie "CRN" berichtet. Die Täter können diese Tokens nutzen, um sich Zugriff auf Salesforce-CRM-Systeme von Drift-Kunden zu verschaffen. Die Liste der Opfer wächst. Darunter sind auch prominente Cybersicherheits-Anbieter wie Tanium, Zscaler, Palo Alto Networks, Cloudflare und Spycloud.
Die Google Threat Intelligence Group deckte die Salesloft-Drift-Kampagne am 26. August auf. Demnach griffen Cyberkriminelle (von Google als UNC6395 bezeichnet) bereits seit dem 9. August über Drittanbieter-Anwendungen wie Salesloft und Drift Unternehmenssysteme an. Google warnt vor der laufenden Angriffswelle und rät betroffenen Firmen, alle Integrationen zu prüfen, deren Zugangsdaten zu erneuern und Systeme auf unberechtigte Zugriffe zu untersuchen.
Mindestens fünf grosse Cybersicherheitsfirmen bestätigen bereits Vorfälle. Sowohl bei Tanium als auch bei Zscaler erbeuteten die Angreifer vor allem Kundendaten wie Namen, geschäftliche E-Mail-Adressen und Telefonnummern. Bei Tanium erfolgte der Zugriff über Salesloft und Salesforce. Zscaler betont, dass eigene Produkte und Systeme nicht betroffen sind.
Auch Spycloud meldet den Zugriff auf Standard-Kundendaten in Salesforce, während Palo Alto Networks den Abfluss von geschäftlichen Kontaktinformationen und Support-Daten bestätigt. Okta wehrte einen entsprechenden Angriffsversuch eigenen Angaben zufolge durch Sicherheitsmassnahmen wie IP-Adressen-Beschränkungen ab.
Besonders heikel ist der Fall Cloudflare: Hier erbeuteten die Angreifer möglicherweise Supportdaten, die sensible Informationen wie Zugriffstoken enthalten. Das Unternehmen fordert seine Kunden daher dringend auf, alle im Support geteilten Anmeldedaten zu ändern.
Das volle Ausmass des Angriffs ist noch unklar. Spycloud und Palo Alto Networks warnen, dass ausser ihnen "Hunderte" weitere Unternehmen betroffen sein könnten.
Im August meldete übrigens Cisco eine Sicherheitslücke in der Secure Firewall Management Center Software, die Remote-Codeausführung ermöglichen könnte - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Warum diese Maus ständig die Weltherrschaft plant
Kontrollverlust durch KI ist kein Risiko mehr, sondern Realität
Inventx und 3ap treiben die Digitalisierung der Krankenkassen voran
Schlüsselkriterien für die Skalierung von KI
Mehr Sicherheit durch Standardisierung und Automatisierung
Diese Cybersecurity-Baustellen hat der Bund 2024 angepackt
Ausweg aus KI-Agenten-Chaos – eine gemeinsame Sprache für Ihre Systeme
"Winning the AI Race" – doch nur wer sich schützt, gewinnt wirklich
Isolutions bekommt neuen CEO
