Cloudflare ถูกโจมตีผ่าน Supply Chain จาก Salesloft Drift เผย API Token รั่วไหล

Cloudflare เปิดเผยว่าตกเป็นเหยื่อการโจมตี Supply Chain ผ่าน Salesloft Drift ทำให้ผู้โจมตีเข้าถึงระบบ Salesforce และขโมย API Token 104 รายการพร้อมข้อมูล support ticket ของลูกค้า

Cloudflare ได้ประกาศเมื่อวันอังคารที่ผ่านมาว่าบริษัทตกเป็นเป้าหมายในการโจมตี Supply Chain ล่าสุดที่เกี่ยวข้องกับการละเมิดความปลอดภัยของ Salesloft Drift ซึ่งเปิดเผยเมื่อสัปดาห์ที่แล้ว ผู้โจมตีสามารถเข้าถึง Salesforce instance ที่บริษัทใช้สำหรับจัดการ case ของลูกค้าภายในและการสนับสนุนลูกค้า ส่งผลให้มี Cloudflare API token จำนวน 104 รายการถูกขโมยไป โดย Cloudflare ได้รับแจ้งเหตุการณ์นี้เมื่อวันที่ 23 สิงหาคม และได้แจ้งเตือนลูกค้าที่ได้รับผลกระทบในวันที่ 2 กันยายน พร้อมทั้งได้ทำการ rotate token ทั้งหมดที่ถูกขโมยไปแล้ว แม้ว่ายังไม่พบกิจกรรมที่น่าสงสัยใดๆ ที่เชื่อมโยงกับ token เหล่านี้

จากการสืบสวนพบว่าผู้โจมตีขโมยเฉพาะข้อมูลที่เป็น text ภายใน Salesforce case objects ระหว่างวันที่ 12-17 สิงหาคม หลังจากมีการสำรวจระบบเบื้องต้นในวันที่ 9 สิงหาคม ข้อมูลที่ถูกขโมยประกอบด้วยหัวข้อของ Salesforce case, เนื้อหาของ case ซึ่งอาจรวมถึง keys หรือ secrets หากลูกค้าได้ส่งมาให้ Cloudflare, ข้อมูลติดต่อของลูกค้า เช่น ชื่อบริษัท อีเมลและเบอร์โทรศัพท์ของผู้ติดต่อ domain name และประเทศของบริษัท Cloudflare ระบุว่าข้อมูลส่วนใหญ่เป็นข้อมูลติดต่อของลูกค้าและข้อมูล support case พื้นฐาน แต่การโต้ตอบบางส่วนอาจเผยข้อมูลเกี่ยวกับการตั้งค่าของลูกค้าและอาจมีข้อมูลที่ละเอียดอ่อนเช่น access token รวมอยู่ด้วย

Cloudflare เชื่อว่าผู้โจมตีมีเจตนาเก็บเกี่ยว credentials และข้อมูลลูกค้าเพื่อใช้ในการโจมตีในอนาคต เนื่องจากมีองค์กรหลายร้อยแห่งได้รับผลกระทบจากการบุกรุก Drift ครั้งนี้ บริษัทสงสัยว่าผู้โจมตีจะใช้ข้อมูลนี้เพื่อเปิดการโจมตีแบบเจาะจงต่อลูกค้าขององค์กรที่ได้รับผลกระทบ ทั้งนี้ตั้งแต่ต้นปีกลุ่ม ShinyHunters ได้มุ่งเป้าไปที่ลูกค้า Salesforce ด้วยการโจมตีขโมยข้อมูล โดยใช้ voice phishing เพื่อหลอกให้พนักงานเชื่อมโยงแอป OAuth ที่เป็นอันตรายกับ Salesforce instance ของบริษัท ซึ่งช่วยให้ผู้โจมตีสามารถขโมยฐานข้อมูลและนำไปใช้ขู่กรรโชกเหยื่อในภายหลัง นอกจาก Cloudflare แล้ว ยังมีบริษัทอื่นๆ ที่ตกเป็นเหยื่อในการโจมตีรูปแบบนี้ รวมถึง Google, Cisco, Qantas, Allianz Life, Farmers Insurance, Workday, Adidas และบริษัทในเครือ LVMH อย่าง Louis Vuitton, Dior และ Tiffany & Co. โดย Palo Alto Networks ก็ยืนยันเมื่อสุดสัปดาห์ที่ผ่านมาว่าผู้โจมตีกลุ่มเดียวกันได้ขโมยข้อมูล support บางส่วนที่ลูกค้าส่งมา

ที่มา: https://www.bleepingcomputer.com/news/security/cloudflare-hit-by-data-breach-in-salesloft-drift-supply-chain-attack/