Siber güvenlik dünyasında adından sıkça söz ettiren ShinyHunters grubu, son bir yıldır Salesforce platformuna sızmak için hiçbir güvenlik açığı kullanmadı. Bunun yerine, kuruluşların zaten sahip olduğu güveni istismar etti. Microsoft'un 13 Temmuz'da yayımladığı araştırmaya göre, grup 2025 ortasından 2026 ortasına kadar süren kampanyalarında üç farklı teknik kullandı. Bu tekniklerin ortak noktası, Salesforce'un OAuth bağlantıları aracılığıyla üçüncü taraf uygulamalara ve entegrasyonlara duyulan güveni hedef almasıydı. Microsoft, Salesforce ile iş birliği yaparak bu tür saldırıları tespit etmeye yönelik yeni algılama ve yönetim araçları geliştirdi.
Bu saldırıları yakalamak zor çünkü erişim, gerçek bir kullanıcının onayladığı bir bağlı uygulamadan veya kuruluşun zaten güvendiği bir entegrasyondan geldiğinde trafik normal kullanım gibi görünüyor. Oturum açma ve kimlik doğrulama izleme sistemleri bu tür faaliyetleri neredeyse hiç fark etmiyor. Asıl sorun, uygulamanın veya hesabın sisteme girdikten sonra ne yaptığı. Ancak çoğu Salesforce günlüğü, bu tür eylemleri izlemek için tasarlanmamıştı. Microsoft, bu boşluğu doldurmak için yeni araçlar geliştirdi.
İlk saldırı yolu, çalışanları hedef alan vishing (sesli kimlik avı) aramalarıydı. 2025 ortasında başlayan bu kampanyada saldırganlar, kendilerini BT destek ekibi olarak tanıtarak çalışanları Salesforce'un OAuth onay ekranına yönlendirdi. Çalışanlar, farkında olmadan saldırganların kontrolündeki bir bağlı uygulamayı onayladı. Bu uygulama, Salesforce'un kendi Data Loader aracı gibi görünüyordu. Onay alındıktan sonra saldırganlar, bu uygulama aracılığıyla API çağrıları yaparak Salesforce verilerine erişti, CRM kayıtlarını ele geçirdi ve diğer SaaS platformlarına geçiş için kimlik bilgileri aradı. Hiçbir kötü amaçlı yazılım veya çalıntı şifre kullanılmadı; sadece bir telefon görüşmesi ve bir tıklama yeterliydi.
İkinci saldırı yolu, doğrudan çalışanları hedef almak yerine güvenilir üçüncü taraf satıcıları hedef aldı. Saldırganlar, müşterilerinin Salesforce ortamlarına OAuth erişimi olan bir satıcının uygulamasını ele geçirerek bağlantı sırlarını veya token'larını çaldı. Bu token'ları kullanarak birçok farklı Salesforce örneğine aynı anda erişip veri dışa aktardılar. Microsoft, bu kapsamda üç önemli olayı belirledi: Ağustos 2025'teki Salesloft Drift ihlali, Kasım 2025'teki Gainsight olayı ve Haziran 2026'daki Klue ihlali. Bu olaylarda saldırganlar, Drift AI sohbet entegrasyonu, Gainsight uygulamaları ve Klue platformu üzerinden müşteri verilerine erişti. Google, Drift token hırsızlığının potansiyel olarak 700'den fazla kuruluşu etkilediğini tahmin ediyor.
Teknik Analiz
Üçüncü saldırı yolu ise hiçbir kimlik bilgisi gerektirmiyor. Microsoft, Salesforce Experience Cloud sitelerindeki Aura uç noktalarına yönelik şüpheli misafir kullanıcı etkinliklerinde artış gözlemledi. Misafir kullanıcı izinlerinin yanlış yapılandırıldığı durumlarda, saldırganlar Aura işlevselliğine kimlik doğrulaması olmadan erişebildi. Bu yol, yapılandırma hatalarını istismar ederek veri sızıntısına yol açtı. Microsoft, bu üç saldırı yolunun perakende, eğitim ve imalat gibi sektörlerdeki birçok Salesforce kiracısını etkilediğini belirtiyor.
ShinyHunters'ın bu kampanyaları, Salesforce güvenliğinde OAuth bağlantılarının ve üçüncü taraf entegrasyonlarının ne kadar kritik olduğunu gözler önüne seriyor. Kuruluşların, tüm bağlı uygulamaları düzenli olarak denetlemesi, OAuth token'larının süresini kısaltması ve misafir erişim izinlerini sıkılaştırması gerekiyor. Ayrıca, çalışanları vishing saldırılarına karşı eğitmek ve şüpheli aramaları doğrulamak için güvenli kanallar kullanmaları önemli. Microsoft ve Salesforce'un yeni algılama araçları, bu tür saldırıları tespit etmede yardımcı olabilir. Ancak en önemli savunma, güven zincirinin her halkasını sorgulamak ve sürekli izlemekten geçiyor.
Kaynak: thehackernews.com