Alerta de Seguridad por Actividad Inusual en Aplicaciones de Gainsight
Salesforce ha emitido una advertencia sobre la detección de “actividad inusual” relacionada con aplicaciones publicadas por Gainsight y conectadas a su plataforma. La investigación de la compañía sugiere que esta actividad pudo haber permitido el acceso no autorizado a datos de ciertos clientes de Salesforce a través de la conexión de la aplicación de terceros.
Como respuesta al incidente, Salesforce ha tomado medidas preventivas:
- Revocación de Tokens: Todos los tokens de acceso y actualización activos asociados con las aplicaciones de Gainsight han sido revocados.
- Retiro de la Plataforma: Las aplicaciones de Gainsight fueron eliminadas temporalmente de AppExchange mientras continúa la investigación.
Salesforce ha notificado a los clientes afectados, aunque no ha revelado el número total de damnificados. La compañía enfatizó que “no hay indicios de que este problema haya resultado de alguna vulnerabilidad en la plataforma de Salesforce”, indicando que la actividad parece estar relacionada con la “conexión externa de la aplicación” a Salesforce.
El Ataque de ShinyHunters y la Explotación de OAuth
Austin Larsen, analista principal de amenazas en Google Threat Intelligence Group (GTIG), ha descrito el incidente como una “campaña emergente” que tiene como objetivo comprometer tokens OAuth de terceros para obtener acceso no autorizado.
La actividad ha sido vinculada a los actores de amenazas asociados con el grupo ShinyHunters (también conocido como UNC6240). El grupo ha confirmado la campaña y ha afirmado haber robado datos de casi 1000 organizaciones a través de esta ola de ataques, que incluye tanto a Gainsight como a un incidente anterior con Salesloft Drift.
Contexto del Ataque y Datos Comprometidos
El ataque actual a Gainsight refleja una serie de ataques similares que afectaron a instancias de Salesloft Drift a principios de agosto. Curiosamente, Gainsight fue uno de los clientes de Salesloft Drift afectados en el ataque anterior, aunque no está claro si esa brecha previa jugó un papel en el incidente actual.
En el ataque anterior de Salesloft, los atacantes accedieron a:
- Detalles de contacto comercial (nombres, direcciones de correo electrónico, números de teléfono).
- Información regional y de ubicación.
- Datos de licencias de productos.
- Contenido de casos de soporte (sin archivos adjuntos).
Larsen subraya que los adversarios están apuntando cada vez más a los tokens OAuth de las integraciones SaaS de terceros de confianza, lo que subraya un riesgo de seguridad creciente en el ecosistema de aplicaciones conectadas.
Recomendaciones de Seguridad
Ante la actividad maliciosa, se recomienda a las organizaciones que revisen todas las aplicaciones de terceros conectadas a Salesforce. Las siguientes son las acciones clave recomendadas:
- Revisar Integraciones: Evaluar todas las aplicaciones de terceros conectadas a la plataforma.
- Revocar Tokens: Revocar los tokens de las aplicaciones que no estén en uso o que parezcan sospechosas.
- Rotar Credenciales: Cambiar las credenciales si se detectan anomalías en alguna integración.
Conclusión
El incidente de Gainsight resalta el riesgo inherente de confiar en integraciones de terceros. Aunque la plataforma principal de Salesforce no fue la fuente de la vulnerabilidad, la cadena de suministro de software (SaaS) sigue siendo un objetivo principal para los actores de amenazas. La explotación de tokens OAuth de terceros se consolida como una táctica clave para los ciberdelincuentes que buscan acceder a datos sensibles.
Referencias
- Grupo de Amenazas ShinyHunters (UNC6240)
- Google Threat Intelligence Group (GTIG)
- Salesforce AppExchange
- Gainsight
- Salesloft Drift