关键词
安全漏洞
一场影响范围巨大的供应链攻击正在席卷全球企业。知名黑客组织 ShinyHunters 宣称成功利用 Gainsight 与 Salesforce 之间的集成通道,入侵超过两百家企业的数据系统。此次事件并未直接攻破 Salesforce 平台本身,而是滥用了第三方应用在云环境中拥有的高可信访问权限。
在 2025 年 11 月 20 日,Salesforce 在发现异常活动后紧急关闭了所有由 Gainsight 发布的应用与其平台之间的连接,并确认这些异常行为可能导致未经授权的数据访问,攻击路径指向外部连接及其 OAuth 凭证。
此次攻击的核心在于“信任链劫持”。Google 威胁情报组与 Mandiant 的调查显示,攻击者窃取了 Gainsight 集成所使用的 OAuth 令牌。这类令牌在 SaaS 环境中用于在应用与平台之间建立可信连接,通常具备较高的访问权限。一旦令牌被盗取,攻击者即可绕过多因素认证,以合法应用的名义访问企业数据,实现横向移动及隐蔽数据导出。这种模式正逐渐成为攻击者在云平台中渗透的主流方法。
目前,Salesforce 强调自身平台不存在安全漏洞,问题完全来自于与 Gainsight 应用的外部连接及其凭证管理不当。受事件影响,所有 Gainsight 应用与 Salesforce 的连接已被强制禁用,恢复时间尚未确定。Salesforce 与 Mandiant 正积极通知疑似受影响的客户。
此次事件与近期针对 Salesloft 与 Drift 等云平台集成的攻击高度相似,反映出威胁组织正在系统性地审计 SaaS 生态中被长期忽视的第三方权限,寻找高价值突破点。
事件发生后,SaaS 环境的管理员被建议立即开展全面审计。重点包括检查 Salesforce 中所有连接的应用、撤销未使用或来源可疑的 OAuth 令牌,尤其与 Gainsight 相关的集成。同时应持续关注厂商通知,在监测到集成产生异常访问时及时轮换所有密钥与访问凭证。
随着身份凭证窃取成为攻击主流,第三方权限的维护已经和传统漏洞管理同等重要。企业必须将 SaaS 权限治理纳入核心安全策略,以防供应链成为新的突破点。
本次攻击还公布了多组威胁指标,包括来自多家 VPN 服务的可疑 IP、异常的用户代理字符串以及与攻击相关的 AWS 流量。这些指标显示攻击者利用高度匿名化的基础设施进行侦察和数据访问,进一步提高了检测难度。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴