Source : Varonis — Analyse d’une attaque supply chain où des tokens OAuth liés aux intégrations Salesloft et Drift ont été détournés pour accéder à des environnements Salesforce de plusieurs organisations, dont Zscaler et Palo Alto Networks.

🚨 Les assaillants ont exploité des connexions tierces de confiance pour mener une attaque de chaîne d’approvisionnement. En détournant des tokens OAuth associés aux intégrations Salesloft et Drift, ils ont accédé à des environnements Salesforce via des appels API légitimes, ce qui a contourné les contrôles traditionnels et élargi le périmètre et le blast radius. L’incident illustre la nécessité d’une approche plus data-first avec une gouvernance renforcée des applications OAuth et une surveillance en temps réel.

🔍 Côté technique, les tokens OAuth compromis proviennent vraisemblablement de la campagne de phishing UNC6395. Les attaquants ont utilisé des requêtes SOQL légitimes de reconnaissance, notamment SELECT COUNT() FROM Account, Opportunity, User, Case, avant d’exfiltrer des données sensibles depuis des objets Salesforce standard et personnalisés. La méthode bypasse la MFA et se fond dans le trafic d’intégration normal.

🛑 La détection repose sur l’observation de comportements anormaux d’applications OAuth, de volumes d’appels API excessifs et de motifs d’énumération traversant plusieurs objets Salesforce.

IOCs et TTPs:

  • TTPs:
    • Détournement de tokens OAuth (token hijacking)
    • Abus d’API via appels légitimes à Salesforce (living-off-the-land)
    • Reconnaissance SOQL: SELECT COUNT() FROM Account/Opportunity/User/Case
    • Exfiltration de données depuis objets standard et personnalisés
    • Contournement de la MFA via sessions OAuth existantes
    • Exploitation d’intégrations tierces (Salesloft, Drift) — attaque supply chain
  • IOCs: Non précisés dans l’extrait (requêtes SOQL et apps OAuth ciblées mentionnées ci-dessus)

Type d’article : analyse de menace, visant à décrire la technique d’attaque, l’impact sur Salesforce et les axes de détection.

🧠 TTPs et IOCs détectés

TTPs

[‘Détournement de tokens OAuth (token hijacking)’, ‘Abus d’API via appels légitimes à Salesforce (living-off-the-land)’, ‘Reconnaissance SOQL: SELECT COUNT() FROM Account/Opportunity/User/Case’, ‘Exfiltration de données depuis objets standard et personnalisés’, ‘Contournement de la MFA via sessions OAuth existantes’, ‘Exploitation d’intégrations tierces (Salesloft, Drift) — attaque supply chain’]

IOCs

Non précisés dans l’extrait

🔗 Source originale : https://www.varonis.com/blog/salesloft-drift-breach-and-saas-risk

🖴 Archive : https://web.archive.org/web/20250904092317/https://www.varonis.com/blog/salesloft-drift-breach-and-saas-risk