Salesforce'a Sızmak İçin Tek Bir Açık Bile Gerekmiyor: ShinyHunters'ın Bir Yıllık Saldırı Yol Haritası Yazılım

Salesforce'a Sızmak İçin Tek Bir Açık Bile Gerekmiyor: ShinyHunters'ın Bir Yıllık Saldırı Yol Haritası

ShinyHunters, Salesforce'ta tek bir açık kullanmadan, OAuth güvenini istismar ederek bir yıl boyunca kurumsal verilere sızdı. İşte Microsoft'un harita

Siber güvenlik dünyasında, büyük veri ihlalleri genellikle karmaşık istismarlar veya sıfır gün açıklarıyla ilişkilendirilir. Ancak ShinyHunters olarak bilinen veri gasp grubunun son bir yıldaki faaliyetleri, en büyük tehdidin bazen en basit yöntemlerden geldiğini gösteriyor. Microsoft'un 13 Temmuz'da yayımladığı araştırmaya göre, bu grup Salesforce ortamlarına sızmak için platformdaki tek bir güvenlik açığını bile kullanmadı. Bunun yerine, kuruluşların zaten vermiş olduğu güveni, özellikle de Salesforce'u üçüncü taraf uygulamalara ve satıcılara bağlayan OAuth bağlantılarını hedef aldılar. Microsoft, 2025 ortasından 2026 ortasına kadar süren bu kampanyaları üç farklı teknik altında haritaladı ve Salesforce ile birlikte, mevcut kimlik doğrulama günlüklerinin gözden kaçırdığı bu tür etkinlikleri tespit etmek için yeni algılama ve yönetişim araçları geliştirdi.

Bu saldırıları bu kadar tehlikeli kılan şey, tespit edilmelerinin son derece zor olmasıdır. Erişim, gerçek bir kullanıcının onayladığı bir bağlı uygulamadan veya şirketin zaten güvendiği bir entegrasyondan geldiğinde, trafik normal kullanım gibi görünür. Oturum açma ve kimlik doğrulama izleme sistemleri bu tür etkinlikleri neredeyse fark etmez. Asıl önemli olan, uygulamanın veya hesabın içeri girdikten sonra ne yaptığıdır ve çoğu Salesforce günlüğü tam olarak bunu göstermek için tasarlanmamıştır. Microsoft, bu etkinliği üç ana saldırı yoluna ayırıyor: çalışanları kötü niyetli bir bağlı uygulamayı onaylamaları için kandıran vishing (sesli kimlik avı) aramaları; güvenliği ihlal edilmiş yazılım satıcılarından çalınan OAuth token'ları; ve Salesforce sitelerine yanlış yapılandırılmış misafir erişimi. Her bir yol, geçtiğimiz yıl yaşanan bir Salesforce olayıyla eşleşiyor ve Microsoft, bu etkinliği perakende, eğitim ve imalat dahil olmak üzere çeşitli sektörlerdeki kiracılarda gördü.

İlk saldırı yolu, tüm bu süreci başlatan yöntemdi. 2025 ortalarından itibaren saldırganlar, kendilerini BT destek personeli olarak tanıtarak sesli kimlik avı (vishing) aramaları yaptılar. Çalışanları, Salesforce'un OAuth onay ekranında, saldırganların kontrolündeki ve Salesforce'un kendi Data Loader aracı gibi görünen bir bağlı uygulamayı yetkilendirmeye ikna ettiler. Onay verildikten sonra uygulama, o kullanıcı adına API çağrıları yaparak saldırganların Salesforce kuruluşundaki verileri numaralandırmasına, CRM kayıtlarına kalıcı erişim sağlamasına ve diğer SaaS platformlarına açılan kapı olabilecek kimlik bilgilerini avlamasına olanak tanıdı. Bu saldırıda kötü amaçlı yazılım, çalıntı şifre veya herhangi bir istismar yoktu; sadece bir telefon görüşmesi ve bir onay tıklaması yeterliydi. Google'ın Tehdit İstihbarat Grubu (GTIG) ve Mandiant tarafından belgelenen bu kampanya, ilk erişimi UNC6040 ve ardından gelen gaspı UNC6240 olarak izledi. Google, kendi Salesforce örneklerinden birinin Haziran 2025'te bu şekilde hedef alındığını doğruladı. Mandiant'ın savunmacılara tavsiyesi nettir: Bu aramalar, yardım masasının yardımseverlik içgüdüsünü istismar eder; standart kimlik kontrolleri genellikle işe yaramaz ve güvenli hareket, telefonu kapatıp bilinen güvenilir bir kanaldan geri aramaktır.

Önemli Gelişmeler

İkinci saldırı yolu, çalışanı tamamen atlar. Saldırganlar, bir kullanıcıyı oltalama yerine, müşterilerinin Salesforce kuruluşlarına halihazırda OAuth erişimi olan bir üçüncü taraf satıcıyı hedef alır. Bağlantı sırlarını veya token'ları çalarak, aynı anda birçok alt kuruluştaki verileri sorgulayıp dışa aktarırlar. Trafik, onaylanmış bir entegrasyondan geldiği için oturum açma alarmlarını tetiklemez ve normal otomasyonun içinde kaybolur. Microsoft burada üç olaya işaret ediyor. Ağustos 2025'teki Salesloft Drift ihlali en büyük ve en net örnektir: Saldırganlar, Drift AI sohbet entegrasyonuna bağlı OAuth ve yenileme token'larını çalarak bunları Salesforce müşteri ortamlarına karşı kullandı. Google, Drift token hırsızlığının potansiyel olarak 700'den fazla kuruluşu etkilediğini tahmin ediyor. Kasım 2025'teki Gainsight olayı da aynı taktiği farklı bir satıcıda uyguladı ve GTIG, kampanyayı 200'den fazla Salesforce örneğini etkileyen ShinyHunters bağlantılı gruplara bağladı. En son vaka, Haziran 2026'daki Klue ihlalidir. Saldırganlar, uzun süredir kullanılmayan ancak hala aktif olan eski bir kimlik bilgisi aracılığıyla rekabet istihbarat platformuna girdi, müşterilerin OAuth token'larını toplayan bir kod güncellemesi yayınladı ve bu token'ları Klue müşterilerine ait Salesforce ve Gong verilerine erişmek için kullandı.

Teknik Analiz

Üçüncü saldırı yolu ise hiçbir kimlik bilgisine ihtiyaç duymaz. Microsoft, Salesforce Experience Cloud sitelerinin arkasındaki Aura uç noktalarına yönelik şüpheli misafir kullanıcı etkinliğinde bir artış gördü. Misafir kullanıcı izinlerinin yanlış yapılandırıldığı durumlarda, saldırganlar herhangi bir oturum açma olmaksızın Aura işlevselliğine erişebildi. Bu, genellikle göz ardı edilen bir güvenlik açığıdır çünkü misafir erişiminin genellikle sınırlı olduğu düşünülür. Ancak yanlış yapılandırmalar, hassas verilere veya iç işlevlere istenmeyen erişime yol açabilir. Bu yöntem, özellikle kamuya açık Salesforce siteleri olan kuruluşlar için büyük bir risk oluşturuyor.

Tüm bu saldırı yollarının ortak noktası, Salesforce platformunun kendisinde bir güvenlik açığı olmamasıdır. Sorun, kuruluşların güven modelinde ve bu güvenin nasıl yönetildiğinde yatmaktadır. Microsoft'un araştırması, kuruluşların yalnızca kendi iç süreçlerini değil, aynı zamanda bağlı oldukları üçüncü taraf uygulamaların ve satıcıların güvenlik duruşunu da sürekli olarak izlemeleri gerektiğini vurguluyor. OAuth token'larının yönetimi, misafir erişim kontrollerinin düzenli olarak gözden geçirilmesi ve çalışanların vishing gibi sosyal mühendislik saldırılarına karşı eğitilmesi, bu tür tehditlere karşı en etkili savunmalardır. Salesforce kullanıcıları için pratik çıkarım, güvenlik günlüklerinin yalnızca oturum açma olaylarına değil, aynı zamanda uygulama davranışlarına ve API kullanımına da odaklanacak şekilde yapılandırılması gerektiğidir.

ShinyHunters'ın bu kampanyaları, siber güvenlik topluluğu için önemli bir ders niteliğindedir. En büyük tehditler her zaman en karmaşık istismarlardan gelmez; bazen en basit güven istismarları, en yıkıcı sonuçlara yol açabilir. Microsoft ve Salesforce'un iş birliğiyle geliştirilen yeni algılama araçları, bu tür etkinliklerin tespit edilmesine yardımcı olsa da, kuruluşların kendi güvenlik duruşlarını sürekli iyileştirmeleri ve şüpheci bir yaklaşım benimsemeleri hayati önem taşımaktadır. Unutmayın, bir telefon görüşmesi veya yanlış yapılandırılmış bir izin, tüm verilerinizin ifşa olmasına yetebilir.

Kaynak: thehackernews.com

Paylaş: