三個月前,有駭客組織針對採用Salesloft Drift的Salesforce用戶下手,透過OAuth憑證竊取這些用戶CRM系統存放的資料,如今類似的事故再度傳出,駭客鎖定另一套與Salesforce串接的第三方應用程式Gainsight,並傳出波及超過200家企業。而對於這起事故的後續處理,不僅Salesforce關閉多款Gainsight應用程式連線,Zendesk與HubSpot兩家公司也採取預防措施,跟進切斷Gainsight應用程式連線。
另一個引起資安圈高度關注的消息,在於有資安業者傳出找到被駭客收買的內鬼。過往曾經有不少資安業者與研究人員提出警告,駭客會試圖收買員工取得初始入侵管道,如今類似的情況真實上演。
11月20日Salesforce警告,已偵測到由Gainsight發布、且與Salesforce連接的應用程式出現異常活動。相關應用程式由客戶自行安裝與管理,Salesforce調查指出,攻擊者可能藉由應用與Salesforce的連線未經授權地存取部分客戶資料。Google威脅情報小組(GTIG)首席威脅分析師Austin Larsen向TechCrunch及The Register表示,可能有超過200家Salesforce客戶受到波及。
成立於2009年的Gainsight是一家提供客戶成功管理與客戶體驗的軟體公司,其核心產品可整合Salesforce等CRM系統,協助企業追蹤客戶健康度、減少流失及提升續約率等。該公司指出,根據現有的證據,唯一有影響是Gainsight CS(Customer Success)至Salesforce的連線。
針對攻擊者的身分,Austin Larsen透露與ShinyHunters駭客組織有關,駭客入侵第三方的OAuth權杖,未經授權存取Salesforce客戶實例。Salesforce已採取行動撤銷受影響的權杖,並已將相關應用程式自AppExchange下架,Salesforce及Mandiant亦正通知可能受影響的組織。
根據資安新聞網站Bleeping Computer與HackRead的報導,資安業者CrowdStrike傳出有員工向駭客收取2.5萬美元,提供內部系統環境的螢幕截圖,CrowdStrike察覺後,已將該名員工開除。
最早是Bleeping Computer於11月21日報導此事,他們提及駭客組織Scattered Lapsus$ Hunters在Telegram頻道上,洩露CrowdStrike內部系統相關的螢幕截圖,後續CrowdStrike表示已解僱一名外洩內部資料的人員。CrowdStrike發言人向該新聞網站透露,他們在上個月進行內部調查的過程裡,發現一名可疑的內部人員,他曾拍下電腦螢幕的內容,然後與外部分享,該公司已解雇此人。
究竟這名員工外傳了那些資料?另一家資安新聞網站HackRead指出,這些是電腦螢幕的翻拍照片,其中一張是身分驗證管理平臺Okta的單一簽入主控臺,顯示了該公司提供員工的應用程式內容。駭客聲稱從Gainsight得到存取權限,從而入侵CrowdStrike的網路環境。
操作勒索軟體CI0p的駭客上周宣稱,竊得半導體及網路設備業者博通(Broadcom)公司資料,研究人員認為,這樁事件可能是濫用Oracle E-Business Suite(EBS)零時差漏洞攻擊的後果。
駭客並未說是透過哪個管道駭入博通公司系統,或是取得哪些類型資料。駭客只說博通是屬於製造業、軟體及商業服務產業,並簡單警告,這家公司不關心客戶,不重視資訊安全。
由於這樁宣告和Cl0p駭客近來攻擊其他知名公司資料的行徑類似,因此研究人員相信,這次攻擊可能也是透過濫用Oracle EBS漏洞CVE-2025-61882或CVE-2025-61884而得逞。目前博通尚未證實此事,也沒有向各州官方通報的紀錄。
趨勢科技資深威脅研究員游照臨(Steven Meow)今年稍早於美國DEF CON大會上提出警告,這些電信業者配發的數據機,無論是光纖、有線電視、電話線或行動通訊連線類型,都可能是一枚「定時炸彈」,因為駭客可以從任何地方,直接存取並完整控制它們。
游照臨透露,這一切的契機,只是源自於他在2023年搬家時,請中華電信拉了新的網路線。基於白帽駭客的職業習慣,他決定「駭一駭」自己的新設備,確認是否安全。他沒想到,這一下班後的「個人研究」,竟挖出了超過30個CVE(通用漏洞揭露編號)漏洞編號,這些漏洞數量龐大,橫跨多家知名製造商,包括 D-Link(友訊)、Zyxel(合勤)、Billion(盛達電業)、Nokia、韓國DASAN,以及臺灣HITRON(仲琦科技)等。
這些漏洞多數存在臺灣製造的產品,「我買來市面上的小烏龜,經過測試,全部都發現漏洞,這就是最可怕的地方。」游照臨說,這個研究揭示的影響範圍,包含關鍵基礎設施,去年11月有五萬多臺,今年7月至少還有二萬三千多臺有問題的數據機,仍在網路上提供服務,到11月則剩下八千多臺。