【安全圈】ShinyHunters稱通過 Gainsight 與 Salesforce 漏洞竊取百家公司數(shù)據(jù)

關(guān)鍵詞

安全漏洞

一場影響范圍巨大的供應(yīng)鏈攻擊正在席卷全球企業(yè)。知名黑客組織 ShinyHunters 宣稱成功利用 Gainsight 與 Salesforce 之間的集成通道，入侵超過兩百家企業(yè)的數(shù)據(jù)系統(tǒng)。此次事件并未直接攻破 Salesforce 平臺本身，而是濫用了第三方應(yīng)用在云環(huán)境中擁有的高可信訪問權(quán)限。

在 2025 年 11 月 20 日，Salesforce 在發(fā)現(xiàn)異常活動后緊急關(guān)閉了所有由 Gainsight 發(fā)布的應(yīng)用與其平臺之間的連接，并確認(rèn)這些異常行為可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問，攻擊路徑指向外部連接及其 OAuth 憑證。

此次攻擊的核心在于“信任鏈劫持”。Google 威脅情報組與 Mandiant 的調(diào)查顯示，攻擊者竊取了 Gainsight 集成所使用的 OAuth 令牌。這類令牌在 SaaS 環(huán)境中用于在應(yīng)用與平臺之間建立可信連接，通常具備較高的訪問權(quán)限。一旦令牌被盜取，攻擊者即可繞過多因素認(rèn)證，以合法應(yīng)用的名義訪問企業(yè)數(shù)據(jù)，實(shí)現(xiàn)橫向移動及隱蔽數(shù)據(jù)導(dǎo)出。這種模式正逐漸成為攻擊者在云平臺中滲透的主流方法。

目前，Salesforce 強(qiáng)調(diào)自身平臺不存在安全漏洞，問題完全來自于與 Gainsight 應(yīng)用的外部連接及其憑證管理不當(dāng)。受事件影響，所有 Gainsight 應(yīng)用與 Salesforce 的連接已被強(qiáng)制禁用，恢復(fù)時間尚未確定。Salesforce 與 Mandiant 正積極通知疑似受影響的客戶。

此次事件與近期針對 Salesloft 與 Drift 等云平臺集成的攻擊高度相似，反映出威脅組織正在系統(tǒng)性地審計 SaaS 生態(tài)中被長期忽視的第三方權(quán)限，尋找高價值突破點(diǎn)。

事件發(fā)生后，SaaS 環(huán)境的管理員被建議立即開展全面審計。重點(diǎn)包括檢查 Salesforce 中所有連接的應(yīng)用、撤銷未使用或來源可疑的 OAuth 令牌，尤其與 Gainsight 相關(guān)的集成。同時應(yīng)持續(xù)關(guān)注廠商通知，在監(jiān)測到集成產(chǎn)生異常訪問時及時輪換所有密鑰與訪問憑證。

隨著身份憑證竊取成為攻擊主流，第三方權(quán)限的維護(hù)已經(jīng)和傳統(tǒng)漏洞管理同等重要。企業(yè)必須將 SaaS 權(quán)限治理納入核心安全策略，以防供應(yīng)鏈成為新的突破點(diǎn)。

本次攻擊還公布了多組威脅指標(biāo)，包括來自多家 VPN 服務(wù)的可疑 IP、異常的用戶代理字符串以及與攻擊相關(guān)的 AWS 流量。這些指標(biāo)顯示攻擊者利用高度匿名化的基礎(chǔ)設(shè)施進(jìn)行偵察和數(shù)據(jù)訪問，進(jìn)一步提高了檢測難度。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時資訊一手掌握！

好看你就分享 有用就點(diǎn)個贊

支持「安全圈」就點(diǎn)個三連吧！