Palo Alto Networks también se vio comprometida a través de Salesforce y Drift

Antonio Piazzolla : 2 septiembre 2025 22:32

A principios de septiembre de 2025, Palo Alto Networks confirmó haber sido víctima de una filtración de datos. La vulnerabilidad no afectó a sus productos ni servicios principales, sino a algunas instancias de Salesforce utilizadas internamente debido a una integración con la aplicación de terceros Salesloft Drift. El incidente forma parte de una campaña más amplia de ataques a la cadena de suministro, llevada a cabo en agosto de 2025, y demuestra una vez más cómo las integraciones SaaS pueden ser una debilidad importante.

Entre el 8 y el 18 de agosto de 2025, un actor de amenazas identificado por Google como UNC6395 explotó tokens OAuth comprometidos asociados con la aplicación Drift. Estos tokens permitían el acceso a instancias de Salesforce sin autenticación adicional, lo que facilitaba la exfiltración de datos confidenciales.

Técnicamente, el ataque explotó:

• Permisos excesivos: Los permisos otorgados a Drift eran amplios, incluyendo el acceso a campos personalizados y casos de soporte, lo que ampliaba la cantidad de datos exfiltrables. Superficie.
• Automatización de consultas: Los scripts de Python realizaron consultas masivas en Salesforce SOQL, optimizados para extraer datos de contactos, notas internas y tickets de forma masiva.
• Análisis forense: Los atacantes eliminaron los registros de consultas y manipularon los registros de acceso para ocultar su presencia.

Datos comprometidos

Según Palo Alto Redes, los datos robados incluyen principalmente

• Información de contacto de la empresa (nombres, correos electrónicos, números de teléfono);
• Datos internos de ventas (clientes potenciales, oportunidades, pipelines);
• Información básica de soporte (casos de soporte, notas de tickets).

El El mayor riesgo reside en que los tickets de soporte pueden contener secretos operativos como:

• Claves de API o credenciales temporales compartidas con clientes;
• URL internas o IP públicas de sistemas de producción;
• Información sobre arquitecturas de red (p. ej., configuraciones de firewall, VPN);
• Referencias a integraciones en la nube como AWS y Copo de nieve.

Respuesta de Palo Alto Networks

Una vez identificada la actividad sospechosa, Palo Alto Networks:

• Desconectó inmediatamente a Drift del entorno de Salesforce;
• Inició una investigación interna con el apoyo de la Unidad Equipo 42;
• Se notificó a un pequeño número de clientes potencialmente más expuestos;
• Se compartieron directrices defensivas con la comunidad.

Salesloft y Salesforce respondieron revocando los tokens OAuth activos de la aplicación Drift y eliminando temporalmente la aplicación de AppExchange.

Recomendaciones operativas

Unidad 42 y varios analistas de seguridad han sugerido contramedidas técnicas inmediatas:

• Revocar y regenerar los tokens de OAuth para todas las integraciones de Salesforce.
• Implementar restricciones granulares en los ámbitos de OAuth otorgados a aplicaciones de terceros.
• Supervisar consultas SOQL para detectar extracciones masivas injustificadas.
• Acceso a segmentos: restringir el uso de aplicaciones SaaS a VPN o proxies controlados.
• Rotar las credenciales expuestas en los tickets de soporte (por ejemplo, claves de AWS, tokens de Snowflake, credenciales de VPN).

Posibles escenarios de ataque

La exfiltración de datos de Salesforce no es un punto final, sino un trampolín para actividades más serias. Los escenarios más probables incluyen

• Relleno de credenciales y acceso a otros entornos: Si las credenciales robadas (AWS, VPN, Snowflake) no se revocan inmediatamente, los atacantes pueden usarlas para penetrar en infraestructuras críticas.
• Phishing selectivo: Utilizando datos de contacto e información de tickets, es posible crear campañas de phishing altamente personalizadas y difíciles de detectar.
• Movimiento lateral: Aprovechando la información arquitectónica de un soporte En este caso, los atacantes pueden planificar movimientos laterales hacia entornos internos.
• Acceso persistente: Cualquier clave API robada podría usarse para establecer puertas traseras en servicios en la nube, manteniendo el acceso incluso después de la corrección inicial.
• Extorsión y daño a la reputación: Amenazar con la publicación de datos robados para extorsionar o dañar la reputación de la empresa.

El caso de Palo Alto Networks demuestra cómo un ataque a la cadena de suministro puede tener un impacto significativo incluso en empresas líderes en ciberseguridad. El punto débil, en este caso, no era un producto principal, sino una integración SaaS aparentemente inocua.

La lección clave es clara: Toda aplicación de terceros conectada a sistemas críticos debe considerarse un posible punto de entrada. La adopción de prácticas como el principio de mínimo privilegio en los ámbitos de OAuth, el análisis de registros externos y la rotación continua de credenciales confidenciales se están convirtiendo en elementos esenciales para reducir la superficie de ataque.

En un contexto donde los ataques a la cadena de suministro son cada vez más selectivos y sofisticados, la resiliencia requiere centrarse no solo en los productos principales, sino también en todas las integraciones y dependencias de las aplicaciones que existen dentro del ecosistema corporativo.

Antonio Piazzolla


Lista degli articoli