Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Anche Palo Alto Networks Compromessa tramite Salesforce e Drift

Antonio Piazzolla : 3 Settembre 2025 07:19

All’inizio di settembre 2025,Palo Alto Networks ha confermato di essere stata vittima di una violazione dei dati. La compromissione non ha interessato i suoi prodotti o servizi core, bensì alcune istanze di Salesforce utilizzate internamente, a causa di un’integrazione con l’app di terze parti Salesloft Drift. L’incidente rientra in una campagna di attacchi supply chain più ampia, condotta nel mese di agosto 2025, e mostra ancora una volta quanto le integrazioni SaaS possano rappresentare un punto debole significativo.

Tra l’8 e il 18 agosto 2025, un threat actor identificato da Google comeUNC6395 ha sfruttato token OAuth compromessi associati all’app Drift. Questi token hanno permesso di accedere a istanze Salesforce senza passare da autenticazioni aggiuntive, aprendo così la strada all’esfiltrazione di dati sensibili.

Dal punto di vista tecnico, l’attacco ha sfruttato:

  • Token OAuth riutilizzabili: i token, una volta compromessi, hanno fornito accesso diretto all’API di Salesforce, senza richiedere ulteriori challenge di autenticazione.
  • Permessi eccessivi: le autorizzazioni concesse a Drift erano ampie, includendo accesso a campi custom e support case, ampliando così la superficie di dati esfiltrabili.
  • Automazione delle query: script inPython hanno effettuato query massicce verso Salesforce SOQL, ottimizzate per estrarre in blocco contatti, note interne e dati dei ticket.
  • Anti-forensics: gli attaccanti hanno cancellato log di query e manipolato record di accesso per mascherare la loro presenza.

Dati compromessi


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Secondo Palo Alto Networks, i dati sottratti includono principalmente:

    • Informazioni di contatto aziendali (nomi, email, numeri di telefono);
    • Dati interni delle vendite (lead, opportunità, pipeline);
    • Informazioni di supporto di base (support case, note di ticket).

    Il rischio maggiore deriva dal fatto che nei ticket di supporto possono essere presentisegreti operativi come:

    • Chiavi API o credenziali temporanee condivise con i clienti;
    • URL interni o IP pubblici dei sistemi di produzione;
    • Indicazioni sulle architetture di rete (es. configurazioni firewall, VPN);
    • Riferimenti a integrazioni cloud come AWS e Snowflake.

    La risposta di Palo Alto Networks

    Una volta identificata l’attività sospetta, Palo Alto Networks ha:

    • Disconnesso immediatamente Drift dall’ambiente Salesforce;
    • Avviato un’indagine interna con il supporto del teamUnit 42;
    • Notificato un numero ristretto di clienti potenzialmente più esposti;
    • Condiviso linee guida difensive con la community.

    Salesloft eSalesforce hanno reagito revocando i token OAuth attivi dell’app Drift e rimuovendo temporaneamente l’app dall’AppExchange.

    Raccomandazioni operative

    Unit 42 e vari analisti di sicurezza hanno suggerito contromisure tecniche immediate:

    1. Revocare e rigenerare i token OAuth per tutte le integrazioni Salesforce.
    2. Implementare restrizioni granulari sugli scope OAuth concessi alle app di terze parti.
    3. Monitorare le query SOQL per individuare estrazioni massive non giustificate.
    4. Abilitare il logging avanzato e archiviare i log in sistemi esterni per evitare manipolazioni.
    5. Segmentare l’accesso: vincolare l’uso delle app SaaS a VPN o proxy controllati.
    6. Ruotare tutte le credenziali eventualmente esposte nei ticket di supporto (es. chiavi AWS, token Snowflake, credenziali VPN).

    Possibili scenari di attacco

    L’esfiltrazione dei dati da Salesforce non rappresenta un punto finale, ma un trampolino per attività più gravi. Gli scenari più probabili includono:

    • Credential stuffing e accesso ad altri ambienti: se le credenziali sottratte (AWS, VPN, Snowflake) non sono state immediatamente revocate, gli attaccanti possono usarle per penetrare in infrastrutture critiche.
    • Spear phishing mirato: con i dati di contatto e le informazioni sui ticket, è possibile costruire campagne di phishing altamente personalizzate e difficili da individuare.
    • Movimento laterale: sfruttando le informazioni architetturali emerse dai support case, gli attaccanti possono pianificare azioni di lateral movement verso ambienti interni.
    • Accesso persistente: eventuali chiavi API sottratte potrebbero essere usate per stabilire backdoor in servizi cloud, mantenendo accesso anche dopo la remediation iniziale.
    • Estorsione e reputational damage: minacciare la pubblicazione dei dati rubati per estorcere denaro o colpire la reputazione aziendale.

    Il caso di Palo Alto Networks dimostra come un attacco alla catena di fornitura possa avere impatti rilevanti anche su aziende leader nel settore della sicurezza informatica. L’anello debole, in questo caso, non è stato un prodotto core, ma un’integrazione SaaS apparentemente innocua.

    La lezione chiave è chiara:ogni applicazione terza connessa a sistemi critici va trattata come un potenziale punto di ingresso. L’adozione di pratiche come ilprincipio del minimo privilegio sugli scope OAuth, l’analisi dei log esterni e larotazione continua delle credenziali sensibili diventano elementi essenziali per ridurre la superficie d’attacco.

    In un contesto in cui gli attacchi supply chain diventano sempre più mirati e sofisticati, la resilienza passa dall’attenzione non solo ai prodotti core, ma anche a tutte le integrazioni e dipendenze applicative che vivono nell’ecosistema aziendale.

    Antonio Piazzolla
    Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

    Lista degli articoli

    Articoli in evidenza

    Anche Palo Alto Networks Compromessa tramite Salesforce e Drift
    Di Antonio Piazzolla - 03/09/2025

    All’inizio di settembre 2025,Palo Alto Networks ha confermato di essere stata vittima di una violazione dei dati. La compromissione non ha interessato i suoi prodotti o servizi core, bensì alcune i...

    Terrore nel volo di Ursula von der Leyen? Facciamo chiarezza!
    Di Giovanni Pollola - 02/09/2025

    Il 31 agosto 2025 il volo AAB53G, operato con un Dassault Falcon 900LX immatricolato OO-GPE e con a bordo la presidente della Commissione Europea Ursula von der Leyen, è decollato da Varsavia ed è a...

    Zscaler Violazione Dati: Lezione Apprese sull’Evoluzione delle Minacce SaaS
    Di Ada Spinelli - 02/09/2025

    La recente conferma da parte di Zscaler riguardo a una violazione dati derivante da un attacco alla supply chain fornisce un caso studio sull’evoluzione delle minacce contro ecosistemi SaaS compless...

    Proofpoint: Allarme CISO italiani, l’84% teme un cyberattacco entro un anno, tra AI e burnout
    Di Redazione RHC - 02/09/2025

    Proofpoint pubblica il report “Voice of the CISO 2025”: cresce il rischio legato all’AI e rimane il problema umano, mentre i CISO sono a rischio burnout. L’84% dei CISO italiani prevede un att...

    QNAP rilascia patch di sicurezza per vulnerabilità critiche nei sistemi VioStor NVR
    Di Redazione RHC - 01/09/2025

    La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). I...