← Voltar ao blog

ShinyHunters Explora OAuth para Invadir Ambientes Salesforce por Um Ano

Atacantes vinculados ao ShinyHunters contornaram explorações tradicionais ao utilizar relações de confiança OAuth pré-existentes. Eles acessaram dados corporativos do Salesforce sem acionar vulnerabilidades da plataforma.

TL;DR

  • Atacantes vinculados ao ShinyHunters invadiram ambientes do Salesforce por mais de um ano.
  • Nenhuma exploração da plataforma foi usada — o acesso ocorreu por meio de integrações OAuth existentes.
  • A Microsoft mapeou três caminhos distintos de ataque utilizados pelos criminosos.
  • As organizações concederam acesso inadvertidamente por meio de conexões confiáveis com apps de terceiros.
  • A campanha evidencia os riscos de políticas de identidade e acesso excessivamente permissivas.

Cibercriminosos acreditados como parte do notório grupo de extorsão de dados ShinyHunters comprometeram diversos ambientes empresariais do Salesforce ao longo do último ano. Em vez de explorar falhas técnicas no próprio Salesforce, eles utilizaram integrações legítimas baseadas em OAuth que as organizações haviam autorizado anteriormente.

Essas integrações, destinadas a conectar o Salesforce com aplicativos e serviços de terceiros, se tornaram pontos de entrada quando mal configuradas ou excessivamente permissivas. Uma análise recente da Microsoft revelou como os atacantes mantiveram acesso persistente em múltiplos ambientes das vítimas por meio desses caminhos confiáveis. Essa campanha prolongada destaca fraquezas críticas na forma como as empresas gerenciam identidade e acesso dentro dos ecossistemas em nuvem.

Como os Atacantes Obtiveram Acesso

  • Os atacantes não exploraram nenhuma vulnerabilidade na infraestrutura principal do Salesforce.
  • O acesso foi obtido por meio de conexões OAuth pré-aprovadas entre o Salesforce e aplicativos externos.
  • As organizações concederam, sem saber, amplas permissões para integrações de terceiros.
  • Os atacantes usaram essas relações de confiança estabelecidas para se moverem lateralmente e extrair dados.

Implicações para a Segurança Empresarial

  • O uso indevido do OAuth representa um vetor de ameaça crescente na segurança em nuvem.
  • Varreduras tradicionais de vulnerabilidades podem ignorar riscos provenientes de integrações autorizadas, mas abusadas.
  • Monitoramento contínuo da atividade de APIs e permissões de integração é essencial.
  • As organizações devem auditar e restringir regularmente o acesso de aplicativos de terceiros.
  • Planos de resposta a incidentes devem considerar abuso de credenciais além de senhas roubadas.

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

ShinyHunters Explora OAuth para Invadir Ambientes Salesforce por Um Ano — Agent Breach Blog | Agent Breach