Palo Alto Networks gần đây đã công bố về việc môi trường Salesforce của họ bị xâm phạm thông qua tích hợp Salesloft Drift. Sự cố này đánh dấu vụ rò rỉ dữ liệu mới nhất trong một chuỗi các tấn công mạng chuỗi cung ứng nhắm vào các nền tảng quản lý quan hệ khách hàng (CRM). Đây là một lời nhắc nhở quan trọng về những rủi ro tiềm ẩn khi tích hợp các ứng dụng bên thứ ba vào các hệ thống kinh doanh cốt lõi.

Diễn Biến Sự Cố và Chi Tiết Kỹ Thuật

Theo một tuyên bố từ Palo Alto Networks, ứng dụng Drift của Salesloft, được hàng trăm tổ chức sử dụng để hợp lý hóa các hoạt động tương tác bán hàng, đã phải chịu một cuộc xâm nhập. Cuộc xâm nhập này đã ảnh hưởng đến thông tin xác thực OAuth của ứng dụng trong khoảng thời gian từ ngày 8 đến 18 tháng 8 năm 2025. Các tác nhân đe dọa đã lợi dụng những thông tin xác thực bị xâm phạm này để trích xuất dữ liệu từ các phiên bản Salesforce được kết nối, trong đó có cả của Palo Alto Networks.

Phản Ứng Khẩn Cấp từ Palo Alto Networks

Ngay sau khi phát hiện sự kiện, Palo Alto Networks đã ngắt kết nối nhà cung cấp Salesloft khỏi môi trường Salesforce của mình. Đồng thời, đội ngũ bảo mật Unit 42 của công ty đã nhanh chóng triển khai một cuộc điều tra toàn diện. Cuộc điều tra đã xác định rằng sự cố chỉ giới hạn trong nền tảng CRM. Điều này có nghĩa là không có sản phẩm hay dịch vụ nào của Palo Alto Networks bị ảnh hưởng, và tất cả vẫn hoạt động an toàn và đầy đủ.

Phạm Vi và Loại Dữ Liệu Bị Rò Rỉ

Dữ liệu bị xâm phạm chủ yếu bao gồm thông tin liên hệ kinh doanh, chi tiết tài khoản bán hàng nội bộ và các bản ghi vụ việc cơ bản. Palo Alto Networks nhấn mạnh rằng chỉ một số lượng hạn chế khách hàng có thể đã bị lộ dữ liệu nhạy cảm hơn. Những khách hàng này đang được thông báo trực tiếp thông qua các kênh hỗ trợ chính thức. Điều này thể hiện trách nhiệm minh bạch và chủ động bảo vệ khách hàng khi đối mặt với các tấn công mạng.

Kỹ Thuật Khai Thác và Mục Tiêu Tấn Công

Phân tích sâu hơn từ Unit 42 đã liên kết sự cố này với một chiến dịch rộng lớn hơn, lợi dụng tích hợp Salesloft Drift. Sau khi trích xuất các bản ghi từ các đối tượng Salesforce quan trọng như Account, Contact, Case và Opportunity, tác nhân đe dọa đã tiến hành thu thập dữ liệu hàng loạt. Mục tiêu tiếp theo là quét thông tin bị đánh cắp để tìm kiếm các thông tin đăng nhập bổ sung, tiềm ẩn nguy cơ cho các hệ thống bị xâm nhập khác.

Che Giấu Hoạt Động Bất Hợp Pháp

Để che giấu dấu vết và làm phức tạp quá trình điều tra pháp y, kẻ tấn công cũng đã xóa các nhật ký truy vấn SOQL (Salesforce Object Query Language). Hành động này là một kỹ thuật phổ biến nhằm cản trở việc phát hiện và truy vết hoạt động độc hại, làm cho việc xác định toàn bộ phạm vi của cuộc tấn công mạng trở nên khó khăn hơn đối với các đội ngũ an ninh mạng.

Hành Động Khắc Phục từ Salesloft

Salesloft đã xác nhận rằng tất cả các khách hàng bị ảnh hưởng đã được thông báo. Quan trọng hơn, công ty đã chủ động thu hồi tất cả các token truy cập (access tokens) và token làm mới (refresh tokens) đang hoạt động cho ứng dụng Drift. Điều này hiệu quả buộc các quản trị viên bị ảnh hưởng phải xác thực lại, vô hiệu hóa quyền truy cập trái phép và giảm thiểu rủi ro tiếp tục bị khai thác sau cuộc tấn công mạng.

Biện Pháp Phòng Ngừa và Ứng Phó với Tấn Công Mạng

Palo Alto Networks khuyến nghị mạnh mẽ các tổ chức khác đang sử dụng tích hợp Drift cần duy trì cảnh giác cao độ và theo dõi các bản cập nhật từ cả Salesloft và Salesforce. Việc triển khai các hành động ứng phó khẩn cấp ngay lập tức là cực kỳ quan trọng để bảo vệ các hệ thống bị xâm nhập tiềm năng.

Các khuyến nghị chính bao gồm:

• Tắt hoặc thu hồi quyền truy cập của ứng dụng bên thứ ba: Ngay lập tức vô hiệu hóa quyền truy cập của bất kỳ ứng dụng bên thứ ba nào có thể bị xâm phạm. Điều này giúp cắt đứt chuỗi tấn công và ngăn chặn việc trích xuất dữ liệu tiếp theo.
• Kiểm tra nhật ký API Salesforce: Rà soát kỹ lưỡng các nhật ký API để phát hiện bất kỳ hoạt động bất thường hoặc trái phép nào. Việc này cung cấp bằng chứng quan trọng cho phân tích pháp y.
• Kiểm tra nhật ký truy cập đối với các ứng dụng bên thứ ba: Đánh giá chi tiết nhật ký truy cập của các ứng dụng tích hợp để xác định thời điểm và cách thức xảy ra sự cố.
• Đánh giá lại tất cả các ứng dụng đã cài đặt: Thực hiện kiểm tra định kỳ và đánh giá bảo mật cho tất cả các ứng dụng của bên thứ ba được kết nối với hệ thống CRM của bạn.
• Giới hạn phạm vi quyền truy cập (Scope of Access) của ứng dụng bên thứ ba: Đảm bảo rằng các ứng dụng này chỉ có quyền truy cập vào lượng dữ liệu và chức năng tối thiểu cần thiết để hoạt động. Việc này giảm thiểu thiệt hại nếu có tấn công mạng xảy ra.

Áp Dụng Nguyên Tắc Zero Trust và Nâng Cao An Ninh Mạng

Các tổ chức cũng được khuyên nên áp dụng các nguyên tắc Zero Trust. Điều này bao gồm việc thực thi quyền truy cập đặc quyền tối thiểu (least-privilege access) và các chính sách có điều kiện để giảm thiểu khả năng di chuyển ngang (lateral movement) của kẻ tấn công trong môi trường của bạn. Triển khai Zero Trust giúp bảo vệ toàn diện hơn trước các mối đe dọa, kể cả khi hệ thống bị xâm nhập ban đầu.

Palo Alto Networks cũng khuyến cáo các đội ngũ bảo mật nên cảnh giác với các hình thức liên lạc không mong muốn và luôn xác minh các yêu cầu dữ liệu nhạy cảm thông qua các kênh chính thức. Sự cảnh giác này là một phần không thể thiếu trong chiến lược an ninh mạng toàn diện, giúp ngăn chặn các cuộc tấn công lừa đảo (phishing) và kỹ thuật xã hội.

Giám Sát Liên Tục và Hướng Dẫn Cộng Đồng

Palo Alto Networks và Unit 42 sẽ tiếp tục theo dõi chặt chẽ tình hình và sẽ cập nhật bản tin đe dọa nếu có diễn biến mới. Tương tự, Salesforce cũng đang cung cấp hướng dẫn và tài nguyên liên tục cho khách hàng của mình. Việc duy trì cảnh giác và theo dõi thông tin từ các nguồn đáng tin cậy là chìa khóa để bảo vệ hệ thống bị xâm nhập khỏi các mối đe dọa.

Để tìm hiểu thêm về phản ứng của Palo Alto Networks, bạn có thể tham khảo tại blog chính thức của họ: Phản hồi sự cố ứng dụng bên thứ ba Salesforce.