官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
事件背景
知名网络服务提供商Cloudflare近日证实成为Salesforce CRM攻击事件的受害者,此次事件源于供应链环节遭到入侵。攻击者从Salesloft Drift AI聊天机器人窃取OAuth令牌,并利用这些令牌获取了对Salesforce账户的访问权限。
攻击链条分析
美国智能销售解决方案提供商Salesloft是近期谷歌披露的Salesforce CRM数据库泄露事件的核心。该公司的安全缺陷导致依赖其服务的组织遭受凭证泄露。
需要特别说明的是,Salesforce CRM本身并未直接遭到入侵。实际发生的入侵事件主要有两种途径:一是受影响客户的员工成为钓鱼攻击的受害者;二是更主要的途径——涉及Salesloft等第三方服务的供应链入侵,谷歌和Cloudflare的案例均属此类。
受影响范围
Cloudflare确认数据泄露影响了2025年8月12日至17日期间提交的客户支持工单。攻击者可能已获取这些工单中的所有内容,包括问题描述、附加日志、密码、令牌或其他敏感凭证。
应急响应措施
出于谨慎考虑,Cloudflare已开始通知受影响的客户,敦促其立即重置密码并轮换令牌。虽然截至目前尚未发现可疑活动,但公司证实确实发现了被盗令牌,因此已轮换了104个Cloudflare API令牌。
技术架构说明
在一篇详细的博客文章中,Cloudflare解释了这些第三方集成的使用方式:
- Salesforce CRM作为核心系统用于跟踪客户和管理支持工作流
- Salesloft Drift则被集成用于为网站访问者提供实时通信平台
尽管Salesforce和Salesloft是独立公司,但两者都提供关键的销售和客户支持功能,并通过API实现直接互联。由于Salesloft出现安全漏洞,导致影响范围扩大至整个供应链。
安全建议
Cloudflare强烈建议所有用户:
- 从其Salesforce环境中断开Salesloft连接
- 卸载任何相关应用程序或浏览器扩展
- 最重要的是更换与Salesforce CRM实例关联的第三方应用程序凭证,以防止持续未授权访问
参考来源:
Cloudflare Confirms Supply Chain Attack, Customer Support Data Exposed
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)