Anche Palo Alto Networks Compromessa tramite Salesforce e Drift

All’inizio di settembre 2025,Palo Alto Networks ha confermato di essere stata vittima di una violazione dei dati. La compromissione non ha interessato i suoi prodotti o servizi core, bensì alcune istanze di Salesforce utilizzate internamente, a causa di un’integrazione con l’app di terze parti Salesloft Drift. L’incidente rientra in una campagna di attacchi supply chain più ampia, condotta nel mese di agosto 2025, e mostra ancora una volta quanto le integrazioni SaaS possano rappresentare un punto debole significativo.

Tra l’8 e il 18 agosto 2025, un threat actor identificato da Google comeUNC6395 ha sfruttato token OAuth compromessi associati all’app Drift. Questi token hanno permesso di accedere a istanze Salesforce senza passare da autenticazioni aggiuntive, aprendo così la strada all’esfiltrazione di dati sensibili.

Dal punto di vista tecnico, l’attacco ha sfruttato:

• Token OAuth riutilizzabili: i token, una volta compromessi, hanno fornito accesso diretto all’API di Salesforce, senza richiedere ulteriori challenge di autenticazione.
• Permessi eccessivi: le autorizzazioni concesse a Drift erano ampie, includendo accesso a campi custom e support case, ampliando così la superficie di dati esfiltrabili.
• Automazione delle query: script inPython hanno effettuato query massicce verso Salesforce SOQL, ottimizzate per estrarre in blocco contatti, note interne e dati dei ticket.
• Anti-forensics: gli attaccanti hanno cancellato log di query e manipolato record di accesso per mascherare la loro presenza.

Dati compromessi

Secondo Palo Alto Networks, i dati sottratti includono principalmente:

• Informazioni di contatto aziendali (nomi, email, numeri di telefono);
• Dati interni delle vendite (lead, opportunità, pipeline);
• Informazioni di supporto di base (support case, note di ticket).

Il rischio maggiore deriva dal fatto che nei ticket di supporto possono essere presentisegreti operativi come:

• Chiavi API o credenziali temporanee condivise con i clienti;
• URL interni o IP pubblici dei sistemi di produzione;
• Indicazioni sulle architetture di rete (es. configurazioni firewall, VPN);
• Riferimenti a integrazioni cloud come AWS e Snowflake.

La risposta di Palo Alto Networks

Una volta identificata l’attività sospetta, Palo Alto Networks ha:

• Disconnesso immediatamente Drift dall’ambiente Salesforce;
• Avviato un’indagine interna con il supporto del teamUnit 42;
• Notificato un numero ristretto di clienti potenzialmente più esposti;
• Condiviso linee guida difensive con la community.

Salesloft eSalesforce hanno reagito revocando i token OAuth attivi dell’app Drift e rimuovendo temporaneamente l’app dall’AppExchange.

Raccomandazioni operative

Unit 42 e vari analisti di sicurezza hanno suggerito contromisure tecniche immediate:

1. Revocare e rigenerare i token OAuth per tutte le integrazioni Salesforce.
2. Implementare restrizioni granulari sugli scope OAuth concessi alle app di terze parti.
3. Monitorare le query SOQL per individuare estrazioni massive non giustificate.
4. Abilitare il logging avanzato e archiviare i log in sistemi esterni per evitare manipolazioni.
5. Segmentare l’accesso: vincolare l’uso delle app SaaS a VPN o proxy controllati.
6. Ruotare tutte le credenziali eventualmente esposte nei ticket di supporto (es. chiavi AWS, token Snowflake, credenziali VPN).

Possibili scenari di attacco

L’esfiltrazione dei dati da Salesforce non rappresenta un punto finale, ma un trampolino per attività più gravi. Gli scenari più probabili includono:

• Credential stuffing e accesso ad altri ambienti: se le credenziali sottratte (AWS, VPN, Snowflake) non sono state immediatamente revocate, gli attaccanti possono usarle per penetrare in infrastrutture critiche.
• Spear phishing mirato: con i dati di contatto e le informazioni sui ticket, è possibile costruire campagne di phishing altamente personalizzate e difficili da individuare.
• Movimento laterale: sfruttando le informazioni architetturali emerse dai support case, gli attaccanti possono pianificare azioni di lateral movement verso ambienti interni.
• Accesso persistente: eventuali chiavi API sottratte potrebbero essere usate per stabilire backdoor in servizi cloud, mantenendo accesso anche dopo la remediation iniziale.
• Estorsione e reputational damage: minacciare la pubblicazione dei dati rubati per estorcere denaro o colpire la reputazione aziendale.

Il caso di Palo Alto Networks dimostra come un attacco alla catena di fornitura possa avere impatti rilevanti anche su aziende leader nel settore della sicurezza informatica. L’anello debole, in questo caso, non è stato un prodotto core, ma un’integrazione SaaS apparentemente innocua.

La lezione chiave è chiara:ogni applicazione terza connessa a sistemi critici va trattata come un potenziale punto di ingresso. L’adozione di pratiche come ilprincipio del minimo privilegio sugli scope OAuth, l’analisi dei log esterni e larotazione continua delle credenziali sensibili diventano elementi essenziali per ridurre la superficie d’attacco.

In un contesto in cui gli attacchi supply chain diventano sempre più mirati e sofisticati, la resilienza passa dall’attenzione non solo ai prodotti core, ma anche a tutte le integrazioni e dipendenze applicative che vivono nell’ecosistema aziendale.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Antonio Piazzolla

Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.