Các tác nhân đe dọa đã khai thác một tích hợp SaaS của bên thứ ba đáng tin cậy để bí mật thu thập dữ liệu CRM doanh nghiệp, đánh dấu chương mới nhất trong làn sóng tấn công lạm dụng OAuth ngày càng tăng nhắm vào hệ sinh thái Salesforce. Đây là một mối đe dọa mạng nghiêm trọng cần được chú ý.
Tấn công lạm dụng OAuth nhắm vào Salesforce
Các nhà nghiên cứu tại ReliaQuest đã quan sát thấy kẻ tấn công lợi dụng một tích hợp Klue Battlecards bị xâm phạm. Klue Battlecards là một nền tảng tình báo cạnh tranh, đồng bộ hóa dữ liệu battlecard và win/loss với Salesforce. Qua đó, chúng đã trích xuất một lượng lớn dữ liệu quản lý quan hệ khách hàng (CRM) từ các môi trường doanh nghiệp.
Để phản ứng, Salesforce đã chính thức vô hiệu hóa kết nối của ứng dụng Klue Battlecards với nền tảng của họ trong khi chờ điều tra thêm. Salesforce cảnh báo rằng hoạt động bất thường này “có thể đã dẫn đến truy cập trái phép vào một tập hợp con dữ liệu khách hàng.”
Salesforce xác nhận rằng sự cố này không phải là một lỗ hổng trong nền tảng của họ, mà là do sự xâm phạm thông tin xác thực tài khoản dịch vụ tích hợp của Klue.
Phương thức tấn công chi tiết
Kẻ tấn công đã xác thực thông qua các tài khoản dịch vụ tích hợp Klue bị xâm phạm. Sau đó, chúng tạo ra các token OAuth và triển khai các tập lệnh Python tự động hóa. Các tập lệnh này có thể được nhận dạng qua chuỗi user-agent Python-urllib. Mục tiêu là tiêu thụ một cách có hệ thống các bản ghi CRM thông qua API REST của Salesforce.
Cuộc tấn công tuân theo một mẫu trích xuất dữ liệu hai giai đoạn:
- Giai đoạn 1: Thu thập thông tin nhạy cảm.
- Giai đoạn 2: Trích xuất dữ liệu với số lượng lớn.
Dữ liệu CRM có thể truy cập được thông qua tích hợp này bao gồm các bản ghi tài khoản, chi tiết liên hệ, kết quả giao dịch và dữ liệu định giá. Mức độ truy cập phụ thuộc vào cách mỗi tổ chức cấu hình quyền của tích hợp.
IOC và Tương quan với các chiến dịch trước đây
Các nhà nghiên cứu tại ReliaQuest lưu ý rằng phương pháp tấn công này có nhiều điểm tương đồng với các chiến dịch được cho là của ShinyHunters và UNC6395. Đây là hai nhóm tác nhân đe dọa chịu trách nhiệm cho các sự cố lạm dụng OAuth trên Salesforce nổi bật trong năm 2025 và 2026.
Tuy nhiên, việc quy kết tấn công vẫn chưa được xác nhận. Có những khác biệt quan trọng:
- UNC6395 trước đây sử dụng python-requests, Salesforce-CLI và cơ sở hạ tầng Tor.
- Hoạt động này sử dụng một agent Python-urllib chung và lưu trữ dữ liệu trên các trung tâm dữ liệu.
Không có yêu cầu tống tiền hoặc thông báo trên trang leak nào được quan sát thấy tính đến thời điểm báo cáo.
Phân tích lỗ hổng cấu trúc
Lỗ hổng cốt lõi ở đây mang tính cấu trúc. Các tích hợp SaaS của bên thứ ba hoạt động như các danh tính phi con người. Chúng có quyền truy cập API liên tục, thường có phạm vi rộng vào dữ liệu nhạy cảm.
Vì chúng xác thực bằng thông tin xác thực hợp lệ, nên các tích hợp này hiếm khi kích hoạt các cảnh báo hành vi bất thường liên quan đến việc xâm phạm tài khoản người dùng. Điều này cho phép một vòng lặp truy vấn tự động kéo dài 24 giờ chạy mà không bị phát hiện, từ một tài khoản được cho là “đáng tin cậy”.
Nền tảng GreyMatter của ReliaQuest đã tương quan hoạt động làm mới token OAuth, các đỉnh truy vấn API liên tục và hoạt động trích xuất dữ liệu bùng nổ thành một câu chuyện xâm nhập duy nhất. Điều này minh họa tại sao khả năng hiển thị ở lớp API lại cực kỳ quan trọng trong các môi trường tích hợp nhiều.
Khuyến nghị bảo mật
Các tổ chức sử dụng Klue hoặc bất kỳ tích hợp nào được kết nối với Salesforce nên hành động ngay lập tức:
- Rà soát và thu hồi các token OAuth không cần thiết: Kiểm tra tất cả các tích hợp của bên thứ ba được kết nối với Salesforce. Thu hồi quyền truy cập của bất kỳ ứng dụng nào không còn được sử dụng hoặc không xác định rõ mục đích.
- Áp dụng nguyên tắc đặc quyền tối thiểu: Cấp cho các tích hợp chỉ những quyền truy cập cần thiết để thực hiện chức năng của chúng. Hạn chế quyền truy cập vào các loại dữ liệu nhạy cảm.
- Giám sát hoạt động API: Triển khai các giải pháp giám sát để phát hiện các mẫu truy vấn API bất thường, bao gồm khối lượng truy cập lớn hoặc truy cập vào các bản ghi nhạy cảm.
- Xác thực đa yếu tố (MFA) cho tài khoản quản trị: Mặc dù không trực tiếp áp dụng cho tài khoản dịch vụ tích hợp, việc bảo mật tài khoản quản trị có MFA là bước cơ bản để ngăn chặn sự xâm nhập ban đầu có thể dẫn đến việc chiếm đoạt thông tin xác thực.
- Cập nhật bản vá bảo mật: Luôn cập nhật các nền tảng và ứng dụng liên quan lên phiên bản mới nhất để vá các lỗ hổng đã biết.
ReliaQuest đánh giá rằng các tác nhân đe dọa có khả năng cao sẽ tiếp tục nhắm mục tiêu vào các tích hợp bên thứ ba được kết nối với Salesforce trong suốt phần còn lại của năm 2026. Họ cảnh báo rằng “kịch bản lạm dụng OAuth” là có thể lặp lại, hiệu quả và hiện đã được áp dụng rộng rãi. Việc bảo vệ an toàn thông tin của doanh nghiệp là vô cùng cần thiết.
Để biết thêm thông tin chi tiết và các cảnh báo bảo mật mới nhất, vui lòng tham khảo báo cáo gốc từ ReliaQuest: Threat Spotlight: Integration Abused in CRM Data Theft.
