{"id":315745,"date":"2025-09-14T12:05:22","date_gmt":"2025-09-14T10:05:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315745"},"modified":"2025-09-14T12:54:51","modified_gmt":"2025-09-14T10:54:51","slug":"check-point-analyse-zum-drift-salesforce-angriff-unc6395","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/14\/check-point-analyse-zum-drift-salesforce-angriff-unc6395\/","title":{"rendered":"Check Point-Analyse zum Drift-Salesforce-Angriff UNC6395"},"content":{"rendered":"

\"SicherheitHier im Blog habe ich mehrfach vor Angriffen auf Salesforce-Instanzen gewarnt. K\u00fcrzlich gelang es Angreifern Tokens aus einer Chatbot-Integration mit Salesforce zu erbeuten und dann unbemerkt Kundendaten aus der Plattform zu exfiltrieren. Von Check Point Research liegt mir eine kurze Analyse dieses Angriffs auf, der auf eine kritische Schwachstelle in der SaaS-Integration hinweist. Ich stelle die Informationen mal hier im Blog ein.<\/p>\n

<\/p>\n

R\u00fcckblick auf den Salesloft Drift-Hack<\/h2>\n

\"\"Hackern ist es gelungen, zwischen dem 8. und 18. August 2025 in die Drift-Salesforce-Integration von Salesloft einzudringen. Sie haben den Zugriff genutzt, um Daten wie AWS-Schl\u00fcssel und Snowflake-Tokens zu stehlen. Ich hatte im Beitrag\u00a0Schwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr<\/a> dar\u00fcber berichtet.<\/p>\n

\"Salesloft-Drift-Opfer\"<\/a><\/p>\n

Inzwischen werden immer mehr Opfer dieses Hacks bekannt (siehe meinen Beitrag Desaster Salesloft \/ Salesforce-Hack: Google, Cloudflare & Co. unter den Opfern<\/a>). Mir ist die Tage obiger Tweet<\/a> von Hackmanac untergekommen, der die Liste an bisher bekannten Opfern offen legt.<\/p>\n

Check Point-Analyse zum Vorfall<\/h2>\n

Marco Eggerling, Global CISO bei Check Point Software Technologies schreibt in einer Stellungnahme, die mir zugegangen ist, dass ein \"SaaS-Sicherheitsalbtraum f\u00fcr IT-Manager in aller Welt wurde k\u00fcrzlich wahr wurde, nachdem Hacker legitime OAuth-Tokens aus der Drift-Chatbot-Integration von Salesloft mit Salesforce nutzten, um unbemerkt Kundendaten von der beliebten CRM-Plattform zu exfiltrieren<\/em>.\" Er meint, dass der ausgekl\u00fcgelte Angriff einen kritischen toten Winkel aufdeckt , von dem die meisten Sicherheits-Teams nicht einmal wissen, dass sie von ihm betroffen sind.<\/p>\n

Wenn SaaS-Integrationen zu Angriffsvektoren werden<\/h3>\n

Zwischen dem 8. und 18. August 2025 nahm der von Google als UNC6395 bezeichnete Angreifer die OAuth-basierte Verbindung zwischen Drift und Salesforce ins Visier \u2013 eine Integration, auf die sich Tausende von Vertriebsleuten t\u00e4glich verlassen, um Marketinggespr\u00e4che und Lead-Daten zu synchronisieren.<\/p>\n

Der Angreifer habe eine wichtige Tatsache \u00fcber moderne Unternehmen verstanden, so Marco Eggerling: Viele Teile laufen \u00fcber SaaS-Integrationen, nicht nur einzelne Anwendungen. Denn OAuth-Tokens funktionieren wie digitale Schl\u00fcssel zwischen SaaS-Anwendungen. Sobald sie kompromittiert worden sind, erm\u00f6glichen sie einen dauerhaften Zugriff, ohne typische Benutzerauthentifizierungswarnungen auszul\u00f6sen.<\/p>\n

Was diesen Angriff so problematisch machte, war die Verwendung legitimer Tools: Keine ungew\u00f6hnlichen Anmeldemuster, keine verd\u00e4chtigen Dateidownloads, sondern normale API-Aufrufe mit g\u00fcltigen Integrationstokens. Salesloft und Salesforce haben nun alle aktiven Zugriffs- und Aktualisierungs-Tokens mit der Drift-Anwendung widerrufen<\/a> und Salesforce hat die Drift-Anwendung bis zum Abschluss der Untersuchung aus AppExchange entfernt.<\/p>\n

Das verborgene Risiko von SaaS-zu-SaaS-Integrationen<\/h3>\n

Typische SaaS-Tools f\u00fcr die Sicherheit eignen sich hervorragend zur \u00dcberwachung von Benutzerzugriffsmustern oder das Aufsp\u00fcren ungew\u00f6hnlicher Anmeldeorte. Sie ber\u00fccksichtigen jedoch h\u00e4ufig nicht die Realit\u00e4t, in der gesch\u00e4ftskritische Daten st\u00e4ndig zwischen SaaS-Anwendungen flie\u00dfen.<\/p>\n

Ein Beispiel: Drift kommuniziert mit Salesforce, das wiederum mit HubSpot verbunden ist, das wiederum mit Slack integriert ist, das wiederum mit Google Workspace synchronisiert wird. Jede Verbindung verwendet in der Regel OAuth-Tokens, die einer Anwendung die Erlaubnis erteilen, im Namen einer anderen zu handeln.<\/p>\n

Diese Integrationspunkte stellen eine Schwachstelle dar, bei der ein einziges kompromittiertes Token den Zugriff weit \u00fcber den urspr\u00fcnglichen Bereich hinaus erm\u00f6glichen kann. Ein Angreifer, der eine Marketingautomatisierungsintegration knackt, k\u00f6nnte pl\u00f6tzlich Zugriff auf Kundendatens\u00e4tze, Finanzdaten oder interne Kommunikation haben.<\/p>\n

Die meisten SaaS-Sicherheits-Tools konzentrieren sich auf die Verbindungen zwischen Benutzern und SaaS. Sie eignen sich hervorragend, um zu erkennen, wenn sich der CFO von einem ungew\u00f6hnlichen Ort aus anmeldet oder wenn jemand versucht, eine Datei herunterzuladen, die er nicht herunterladen sollte. Aber sie k\u00f6nnen v\u00f6llig \u00fcbersehen, wenn ein Integrationstoken beginnt, Kundendatenbanken zu exportieren.<\/p>\n

Erkennung der Integration<\/h3>\n

An dieser Stelle wird der Angriff von Drift und Salesforce zu einer perfekten Fallstudie daf\u00fcr, wie moderne SaaS-Sicherheit aussehen sollte.<\/p>\n