Siber güvenlik dünyasında genellikle karmaşık açıklar veya sıfır-gün saldırıları konuşulurken, ShinyHunters grubu tam tersi bir yöntemle dikkat çekiyor. Microsoft'un yayınladığı yeni araştırmaya göre, veri gasp grubu ShinyHunters ile bağlantılı saldırganlar, geçtiğimiz bir yıl boyunca Salesforce platformunda tek bir güvenlik açığı kullanmadan kurumsal ortamlara sızmayı başardı. Peki nasıl? Cevap, kuruluşların zaten vermiş olduğu güvenin kötüye kullanılmasında gizli. Özellikle Salesforce'u diğer uygulamalara ve üçüncü taraf satıcılara bağlayan OAuth bağlantıları, saldırganlar için en büyük hedef haline geldi.
Microsoft'un 13 Temmuz'da yayınladığı araştırma, 2025 ortasından 2026 ortasına kadar süren kampanyaları üç farklı tekniğe ayırıyor. Bu tekniklerin ortak noktası, geleneksel güvenlik izleme sistemlerinin bunları tespit edememesi. Çünkü saldırganlar, zaten güvenilen bir kullanıcının onayladığı bir uygulama veya entegrasyon üzerinden erişim sağladığında, trafik normal bir kullanım gibi görünüyor. Oturum açma ve kimlik doğrulama günlükleri bu tür faaliyetleri neredeyse hiç yakalamıyor. Önemli olan, uygulamanın veya hesabın içeri girdikten sonra ne yaptığı ve işte tam da bu noktada Salesforce günlükleme sistemleri yetersiz kalıyor.
Microsoft'un haritaladığı ilk saldırı yolu, en klasik ama en etkili yöntemlerden biri: vishing (sesli kimlik avı). 2025 ortalarında başlayan bu kampanyada saldırganlar, BT destek personeli gibi davranarak çalışanları aradı ve onları Salesforce'un OAuth izin ekranı üzerinden kötü niyetli bir bağlı uygulamayı onaylamaya ikna etti. Bu uygulama, Salesforce'un kendi Data Loader aracı gibi görünecek şekilde tasarlanmıştı. Çalışan onay verdiğinde, uygulama o kullanıcının API çağrıları yapmasına izin alıyor, böylece saldırganlar Salesforce verilerini enumerate edebiliyor, CRM kayıtlarına kalıcı erişim sağlıyor ve diğer SaaS platformlarına geçiş yapmak için kimlik bilgilerini avlıyordu. Google, bu kampanyada kendi Salesforce örneğinin Haziran 2025'te hedef alındığını doğruladı ve saldırganların büyük ölçüde herkese açık iş iletişim verilerini çaldığını belirtti. Chanel, Pandora, Adidas, Qantas, Allianz Life ve LVMH markaları da hedefler arasındaydı.
İkinci saldırı yolu, çalışanı tamamen devre dışı bırakıyor. Saldırganlar, müşterilerinin Salesforce ortamlarına zaten OAuth erişimi olan üçüncü taraf bir satıcıyı hedef alıyor. Satıcının sistemine sızdıktan sonra OAuth token'larını veya bağlantı sırlarını çalıyorlar ve bu token'ları kullanarak aynı anda birden fazla müşterinin Salesforce verilerine erişip dışa aktarıyorlar. Bu trafik, onaylanmış bir entegrasyondan geldiği için oturum açma alarmlarını tetiklemiyor ve normal otomasyon trafiğine karışıyor. Microsoft burada üç önemli olaya dikkat çekiyor: Ağustos 2025'teki Salesloft Drift ihlali (700'den fazla kuruluş etkilendi), Kasım 2025'teki Gainsight olayı (200'den fazla Salesforce örneği etkilendi) ve Haziran 2026'daki Klue ihlali. Klue olayında, saldırganlar uzun süredir kullanılmayan ancak hala aktif olan eski bir test entegrasyon kimlik bilgisini kullanarak sisteme girdi ve müşterilerin OAuth token'larını toplayan bir kod güncellemesi yayınladı.
Üçüncü saldırı yolu ise hiçbir kimlik bilgisi gerektirmiyor. Microsoft, Salesforce'un Experience Cloud sitelerinin arkasındaki Aura uç noktalarına yönelik şüpheli misafir kullanıcı etkinliklerinde bir artış gözlemledi. Misafir kullanıcı izinlerinin yanlış yapılandırıldığı durumlarda, saldırganlar kimlik doğrulama olmadan Aura işlevselliğine erişebiliyor ve veri sızdırabiliyordu. Bu yöntem, özellikle müşteri portalları veya ortak çalışma alanları gibi herkese açık Salesforce sitelerinde ciddi bir risk oluşturuyor. Microsoft ve Salesforce, bu tür faaliyetleri tespit etmek için yeni algılama ve yönetişim araçları geliştirdi.
Uzmanların Görüşleri
Peki bu saldırılardan nasıl korunabiliriz? İlk olarak, vishing saldırılarına karşı çalışanları bilinçlendirmek kritik önem taşıyor. Mandiant'ın önerdiği gibi, yardım masası çalışanlarına gelen beklenmedik aramalarda standart kimlik kontrollerinin yeterli olmadığı ve güvenli bir kanaldan geri arama yapılması gerektiği öğretilmeli. İkinci olarak, üçüncü taraf uygulamaların OAuth izinlerini düzenli olarak denetlemek ve yalnızca gerekli izinleri vermek gerekiyor. Ayrıca, kullanılmayan entegrasyonların kimlik bilgileri derhal devre dışı bırakılmalı. Üçüncü olarak, Salesforce Experience Cloud sitelerinde misafir kullanıcı izinlerini en aza indirmek ve Aura uç noktalarına erişimi kısıtlamak önemli. Microsoft'un yeni deteksiyon araçları ve Salesforce'un güncellemeleri de takip edilmeli. Unutmayın, en büyük güvenlik açığı bazen en beklenmedik yerde, yani duyulan güvende olabilir.
Kaynak: thehackernews.com