Zscaler Violazione Dati: Lezione Apprese sull’Evoluzione delle Minacce SaaS

Ada Spinelli : 2 Settembre 2025 11:43

La recente conferma da parte di Zscaler riguardo a una violazione dati derivante da un attacco alla supply chain fornisce un caso studio sull’evoluzione delle minacce contro ecosistemi SaaS complessi. L’attacco, attribuito al gruppo APT UNC6395, ha sfruttato vulnerabilità a livello di gestione delle credenziali OAuth e di API trust model nelle integrazioni tra applicazioni di terze parti e piattaforme cloud.

Secondo le prime analisi, il punto d’ingresso è stato l’abuso dell’integrazione tra Salesloft Drift e Salesforce. L’attore ha esfiltrato token OAuth validi, consentendo l’accesso diretto agli endpoint Salesforce senza dover interagire con i sistemi di autenticazione tradizionali (es. MFA o session cookies).

Questo vettore sfrutta un punto debole intrinseco nel protocollo OAuth: i bearer token. Un bearer token, se sottratto, garantisce pieno accesso fino alla sua scadenza, indipendentemente dal contesto in cui viene utilizzato. una volta ottenuto il bearer token OAuth (es. tramite furto da log, memory dump, o intercettazione),

CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?  Conosci il nostro corso sul cybersecurity awareness a fumetti?  Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.  Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

lo si può riutilizzare in un’altra sessione, da un altro dispositivo o da un’altra rete, senza dover conoscere la password o superare l’autenticazione a più fattori. In pratica, il token rubato diventa un “passaporto valido” fino alla sua scadenza.

Gli aggressori hanno quindi orchestrato enumerazioni automatizzate via script Python, con query massicce alle API Salesforce, ottenendo dataset contenenti email, numeri di telefono e altre informazioni di contatto business.

Analisi TTP

• Initial Access: sfruttamento dell’integrazione SaaS (Salesloft Drift → Salesforce).
• Credential Access: esfiltrazione di OAuth tokens mediante attacchi mirati a log o ambienti CI/CD compromessi.
• Defense Evasion: utilizzo di token validi per evitare alert su login anomali o tentativi MFA falliti.
• Collection: scraping massivo tramite script Python (indicatore di automazione e infrastruttura consolidata).
• Exfiltration: trasferimento dei dataset su infrastrutture C2, probabilmente distribuite su cloud provider legittimi per confondere il traffico.

Questo approccio dimostra un livello elevato di maturità operativa, con chiara attenzione alla persistenza stealth e al mascheramento nel rumore operativo SaaS.

Zscaler ha confermato che la compromissione è circoscritta all’ambiente Salesforce e non ai sistemi core di sicurezza; i dati esfiltrati riguardano informazioni di contatto business, senza impatto diretto sulle infrastrutture di rete o sui servizi SASE; non sono state rilevate manipolazioni di configurazioni o codice eseguibile.

Tuttavia, anche dati apparentemente “a basso impatto” possono costituire una base privilegiata per future operazioni di spear-phishing contro clienti e partner, sfruttando la fiducia nel brand Zscaler.

Considerazioni Architetturali: Debolezze del Modello SaaS

Questo incidente conferma criticità note ma spesso trascurate:

• Token OAuth come single point of failure: senza meccanismi di rotazione rapida, scoping rigoroso e binding contestuale, diventano equivalenti a credenziali statiche.
• API Exposure: le piattaforme SaaS esposte via API spesso mancano di un sistema granulare di rate-limiting e anomaly detection, facilitando scraping su larga scala.
• Third-Party Trust: ogni applicazione integrata amplia il perimetro di rischio; la security posture dell’intero ecosistema dipende dall’anello più debole.
• Visibility Gaps: i log OAuth e le audit trail delle API non sempre sono correttamente centralizzati in SIEM, riducendo la capacità di detection.

Mitigazioni Tecniche e Best Practice

• Token hardening: implementazione di PKCE (Proof Key for Code Exchange) e token binding per ridurre il rischio di replay.
• Rotazione aggressiva: token a breve durata, con refresh gestito tramite canali sicuri.
• Scope minimization: limitare i privilegi dei token al minimo necessario (principio del least privilege).
• API monitoring: anomalie nelle chiamate API (es. spike di richieste, query massive) devono triggerare alert in tempo reale.
• Zero Trust enforcement: anche per le applicazioni interne e SaaS, ogni accesso deve essere verificato dinamicamente in base al contesto.

Conclusioni

L’attacco subito da Zscaler non rappresenta solo un incidente isolato, ma un campanello d’allarme per tutto il settore. Le architetture SaaS, per loro natura interconnesse, erodono il concetto tradizionale di perimetro. In questo scenario, la resilienza dipende dalla capacità di gestire in maniera proattiva tokenization, API exposure e terze parti.

Il caso Zscaler dimostra che anche player globali della sicurezza non sono immuni da vulnerabilità di supply chain. Il futuro della sicurezza cloud richiede un cambio di paradigma: trattare ogni integrazione come un potenziale threat vector e applicare controlli di sicurezza by design a ogni layer della catena di fornitura digitale.

Ada Spinelli
Ada Spinelli, Cyber Threat Intelligence Analyst presso Maticmind. Laureanda in Ingegneria Informatica alla Federico II, membro del Dark Lab di Red Hot Cyber, appassionata di APT tracking, malware analysis e cybercrime underground.

Lista degli articoli