Salesforce đã phát hành cảnh báo bảo mật nghiêm trọng về “hoạt động bất thường” liên quan đến các ứng dụng do Gainsight phát hành, được kết nối với môi trường khách hàng. Cuộc điều tra của gã khổng lồ CRM chỉ ra rằng hoạt động này có thể đã cho phép truy cập trái phép vào dữ liệu Salesforce thông qua các kết nối bên ngoài của ứng dụng. Đây là một điển hình của tấn công Salesforce thông qua chuỗi cung ứng.

Phản ứng tức thì của Salesforce và bản chất của mối đe dọa

Để ngăn chặn mối đe dọa mạng, Salesforce đã ngay lập tức thu hồi tất cả các token truy cập và refresh đang hoạt động liên quan đến các ứng dụng Gainsight bị ảnh hưởng. Đồng thời, các ứng dụng này cũng đã được gỡ bỏ tạm thời khỏi AppExchange.

Salesforce đã khẳng định rõ ràng rằng sự cố này không bắt nguồn từ một lỗ hổng trong chính nền tảng Salesforce. Thay vào đó, nó khai thác mối quan hệ tin cậy giữa nền tảng và các tích hợp của bên thứ ba. Thông tin chi tiết có sẵn trên trang trạng thái chính thức của Salesforce: Salesforce Status.

Kỹ thuật khai thác: OAuth Tokens bị chiếm đoạt

Cuộc tấn công lợi dụng các OAuth tokens và khóa kỹ thuật số đã bị chiếm đoạt. Các thành phần này cho phép các ứng dụng truy cập dữ liệu mà không cần chia sẻ thông tin đăng nhập của người dùng. Khi các token này rơi vào tay kẻ tấn công, chúng có thể được sử dụng để giả mạo quyền truy cập hợp lệ, dẫn đến việc chiếm quyền điều khiển tài nguyên hoặc dữ liệu nhạy cảm.

Kỹ thuật này tương tự với chiến dịch vào tháng 8 năm 2025 liên quan đến Salesloft Drift. Trong vụ việc đó, những kẻ tấn công đã sử dụng các OAuth tokens bị đánh cắp để vượt qua xác thực và truy cập dữ liệu lớp CRM. Các loại dữ liệu này bao gồm danh bạ doanh nghiệp và nhật ký hồ sơ trường hợp, ảnh hưởng đến hàng trăm tổ chức.

Gainsight trước đây đã thừa nhận việc họ bị lộ thông tin trong sự cố Salesloft Drift, xác nhận rằng các bí mật bị đánh cắp từ vụ vi phạm đó có thể là nguyên nhân gốc rễ. Hiện tại, các tác nhân đe dọa dường như đang lặp lại cùng một kịch bản. Chúng kết hợp các OAuth tokens bị đánh cắp với các ứng dụng có quyền hạn quá mức để tạo ra một “chuỗi tấn công hoàn hảo”. Chuỗi này cho phép chúng vượt qua các biện pháp phòng thủ truyền thống.

Nhóm tác nhân đe dọa và mô hình tấn công

Các nhà nghiên cứu bảo mật đã liên kết chiến dịch này với ShinyHunters, một nhóm đe dọa còn được theo dõi với tên gọi UNC6040. Nhóm này nổi tiếng với việc nhắm mục tiêu vào các hệ sinh thái SaaS. ShinyHunters thường sử dụng kỹ thuật xã hội để lừa người dùng phê duyệt các ứng dụng độc hại hoặc, như trong trường hợp này, chuyển từ một nhà cung cấp bị xâm nhập sang một nhà cung cấp khác để mở rộng phạm vi tấn công Salesforce.

Chỉ số bị xâm nhập (IOCs)

• Nhóm tác nhân đe dọa: ShinyHunters (còn gọi là UNC6040)
• Kỹ thuật: Khai thác OAuth tokens bị chiếm đoạt, sử dụng ứng dụng bên thứ ba có quyền hạn quá mức.

Quản lý rủi ro bên thứ ba và ảnh hưởng lan rộng

Từ góc độ Quản lý Rủi ro bảo mật của bên thứ ba (TPRM), sự cố này là một ví dụ điển hình về sự kiện “bán kính nổ chuỗi cung ứng”. Trong đó, một nhà cung cấp bị xâm phạm duy nhất có thể trở thành cổng vào hàng chục môi trường hạ nguồn. Rủi ro trong các hệ sinh thái SaaS hiện đại không còn di chuyển tuyến tính; nó phân tán, tạo ra sự phơi nhiễm theo cấp số nhân từ một điểm lỗi duy nhất. Đây là một khía cạnh quan trọng của tấn công Salesforce qua các kênh gián tiếp.

Ferhat Dikbiyik, Giám đốc Nghiên cứu và Tình báo (CRIO) tại Black Kite, đã chia sẻ rằng đây không phải là một vi phạm nền tảng cốt lõi của Salesforce. Thay vào đó, những kẻ tấn công có liên hệ với ShinyHunters (ScatteredSpider Lapsu$ Hunters) đã khai thác một tích hợp của bên thứ ba. Chúng sử dụng quyền truy cập từ một nhà cung cấp bị xâm phạm để lấy dữ liệu khách hàng từ môi trường Salesforce. Điều này cho thấy một mô hình tấn công quan trọng và lặp lại.

Các biện pháp ứng phó và phòng ngừa

Các tổ chức đang sử dụng tích hợp Gainsight phải coi các kết nối hiện tại của họ đã bị xâm phạm cho đến khi được xác thực lại. Các nhóm bảo mật nên ngay lập tức kiểm toán mọi ứng dụng được kết nối trong phiên bản Salesforce của họ. Điều này bao gồm việc loại bỏ hoặc hạn chế bất kỳ tích hợp nào không yêu cầu quyền truy cập API rộng.

Việc xoay vòng các OAuth tokens của nhà cung cấp là rất quan trọng và cần được thực hiện ngay lập tức. Bất kỳ token nào có quyền hạn rộng đều phải được coi là rủi ro cao. Hơn nữa, các nhóm bảo mật nên tăng cường quy trình phê duyệt cho các tích hợp mới. Các tác nhân đe dọa đã từng sử dụng kỹ thuật xã hội để có được sự chấp thuận cho các ứng dụng độc hại.