Sommario
La CISA aggiunge nuove vulnerabilità al catalogo Known Exploited Vulnerabilities (KEV) mentre una campagna supply chain su Salesloft Drift colpisce Palo Alto Networks e Cloudflare attraverso token OAuth rubati legati a Salesforce. La cronologia parte da agosto 2025, con UNC6395 tracciato da team di threat intelligence che osservano esfiltrazioni di dati sensibili da centinaia di organizzazioni. L’impatto tocca cloud, networking e servizi di supporto clienti, evidenziando debolezze nelle integrazioni terze parti e nella gestione di token a lunga durata. In parallelo, la CISA impone alle agenzie federali scadenze di mitigazione al 23 settembre 2025 e pubblica avvisi ICS su Delta Electronics, Fuji Electric e Hitachi Energy. L’insieme degli eventi porta alla priorità di rotazione credenziali, monitoraggio OAuth e hardening delle interfacce Salesforce e dei connettori SaaS, con enfasi su privacy, integrità dei dati e continuità operativa.
Campagna Salesforce: token OAuth rubati e catena di fornitura
La campagna che sfrutta Salesloft Drift dimostra come un compromesso nella supply chain SaaS possa propagarsi su Salesforce di terze parti. Gli attaccanti ottengono token OAuth e refresh token, aprendo sessioni legittime e superando controlli basati solo su IP o user agent. La temperatura operativa cresce tra l’8 e il 18 agosto 2025, con attività di ricognizione già dal 9 agosto, quindi fase di esfiltrazione su tenant Salesforce di aziende tecnologiche e di servizi. La scala stimata arriva a oltre 700 entità coinvolte, con targeting verso contatti, casi di supporto, riferimenti a integrazioni e possibili segreti annidati dentro campi testuali. L’accesso iniziale resta non chiarito, ma i pattern indicano uso di strumenti standard come python-requests e Tor per confondere indicatori di geolocalizzazione e fingerprint di rete. La persistenza deriva dalla natura dei refresh token, che richiedono revoca e rotazione orchestrata, non solo un reset della password utente.
Palo Alto Networks: perimetro dell’incidente e indagini Unit 42
Nel caso Palo Alto Networks, gli attaccanti usano token OAuth legati a Salesloft Drift per accedere all’istanza Salesforce di CRM e supporto. I dati interessati includono informazioni di contatto e casi di supporto, con ricerche mirate a chiavi e token che potrebbero emergere nel testo libero. L’azienda disabilita Drift, revoca i token associati e procede a rotazione credenziali, comunicando direttamente con i clienti impattati. Unit 42 circoscrive l’evento all’ambiente Salesforce, indicando l’assenza di accesso a file tecnici o allegati, e diffonde un threat brief che raccomanda auditing di log, verifica delle integrazioni e scansioni di repository con strumenti come Trufflehog e Gitleaks per intercettare segreti esposti. La sequenza conferma che l’esposizione indiretta può generare rischi a valle se nei case compaiono token, endpoint o configurazioni.
Cloudflare: token API esfiltrati e risposta operativa
Il caso Cloudflare evidenzia l’impatto concreto sui token API. Gli attori esfiltrano 104 token tra il 12 e il 17 agosto 2025, con notifica interna il 23 agosto e alert ai clienti il 2 settembre. I dati sottratti includono oggetti caso, soggetti, corpi e informazioni di contatto come nomi azienda, email, numeri di telefono, domini e paesi. Non risultano allegati sottratti, ma il testo dei casi poteva contenere riferimenti a configurazioni o credenziali. Cloudflare ruota tutti i 104 token e segnala assenza di uso sospetto successivo, trattando comunque quelle credenziali come compromesse. L’azienda focalizza l’indagine su scope e limiti dell’esfiltrazione, rimarcando come dati di supporto possano ospitare indicatori riutilizzabili per attacchi futuri.
Salesloft Drift: sospensione, indagini e hardening del connettore
Salesloft sospende Drift per svolgere indagini con partner come Mandiant e Coalition. Salesforce disabilita cautelativamente le integrazioni Salesloft, in attesa di verifiche e misure di hardening. Il ciclo di risposta converte i lesson learned in policy: scadenze più strette per token, obbligo di rotazione periodica, controlli sull’uso anomalo e miglior presidio dei log a livello di app e tenant. Il contesto riconferma che la gestione dell’ecosistema SaaS richiede una visibilità end-to-end sui connettori e sulle dipendenze tra prodotto, CRM e automazioni.
TP-Link e WhatsApp sotto pressione con scadenze al 23 settembre 2025
Nel catalogo KEV, la CISA inserisce la CVE-2020-24363 su TP-Link TL-WA855RE e la CVE-2025-55177 su WhatsApp, con evidenze di exploitation attiva.
- CVE-2020-24363 TP-link TL-WA855RE Missing Authentication for Critical Function Vulnerability
- CVE-2025-55177 Meta Platforms WhatsApp Incorrect Authorization Vulnerability
La prima consente reset non autenticato via TDDP e impone un reboot con successiva impostazione di una nuova password amministrativa, abilitando un salto di privilegio in reti domestiche e SMB. Il dispositivo è in end-of-life, con fix storico su firmware TL-WA855RE(EU)_V5_200731 e assenza di patch successive, fatto che spinge alla sostituzione hardware. Nel caso WhatsApp, la CVE-2025-55177 (CVSS 5.4) risulta catenata con CVE-2025-43300 (CVSS 8.8) in campagne di spyware mirate su iOS, iPadOS e macOS. Le notifiche hanno riguardato meno di 200 utenti, con attacchi sofisticati che sfruttano componenti commerciali. Le agenzie FCEB devono mitigare entro il 23 settembre 2025, mentre la CISA invita il settore privato a prioritizzare vulnerabilità già sfruttate.
Avvisi ICS: Delta Electronics, Fuji Electric e Hitachi Energy
Gli avvisi ICS della CISA coprono Delta Electronics, Fuji Electric e Hitachi Energy, con enfasi su problemi di autenticazione e possibilità di accessi non autorizzati che impattano operazioni critiche. Le raccomandazioni puntano su patch, configurazioni sicure, segmentazione di rete e difese di monitoraggio in ambienti OT.
- ICSA-25-245-01 Delta Electronics EIP Builder
- ICSA-25-245-02 Fuji Electric FRENIC-Loader 4
- ICSA-25-245-03 SunPower PVS6
- ICSA-25-182-06 Hitachi Energy Relion 670/650 and SAM600-IO Series (Update A)
L’obiettivo è ridurre il movimento laterale e contenere il blast radius in caso di compromissione di nodi periferici o interfacce remoto.
Tracciamento UNC6395 e correlazioni non definitive
Le analisi attribuiscono a UNC6395 la campagna su Salesforce, collegandola a furti precedenti, senza prova definitiva di legami con gruppi noti come ShinyHunters. La prudenza attribuzionale deriva da TTP ampiamente condivisi: uso di token, API, librerie standard e canali anonimi. La telemetria su OAuth e il profilo degli accessi cooperano con i log applicativi per distinguere tra attività lecite e abusi che mimano comportamenti umani.
Aspetti tecnici: OAuth, scope, log e indicatori
L’uso di OAuth trasferisce il rischio verso la gestione del ciclo di vita dei token. I refresh token estendono sessioni anche oltre la rotazione della password, imponendo revoca e blacklist a livello app. Gli scope devono aderire al principio del privilegio minimo, mentre il monitoraggio incrocia IP, user agent, orari, volumi di query e pattern di ricerca anomali come stringhe password, secret, AWS, Snowflake, VPN e SSO dentro i casi. La pulizia dei log da parte degli attaccanti suggerisce di replicare telemetria su più livelli, così da mantenere ridondanza degli eventi anche in presenza di tampering applicativo.
Impatto su cloud, networking e supply chain
I casi Palo Alto Networks e Cloudflare mostrano come supporto e case management custodiscano porzioni di conoscenza operativa sufficienti per pivot successivi. Cloud e networking soffrono quando asset ad alto valore vengono indirettamente rivelati, dai token ai riferimenti topologici. L’effetto a catena si alimenta con integrazioni che replicano dati tra ambienti. Per questo le organizzazioni devono governare dati sensibili anche quando sono incapsulati in campi testuali, definendo mascheramenti, policy di retention e validazioni che blocchino pattern a rischio.
Rotazione credenziali e difesa: pratiche operative
La rotazione dei token e la revoca dei refresh vanno orchestrate senza interrompere i workflow critici. I team di sicurezza adottano scansioni di repository con Trufflehog e Gitleaks, ricercano segreti in ticket, email e note e istituiscono un playbook per Salesforce e Drift che includa disable, revoke, audit e hardening. I controlli di anomaly detection sugli oggetti caso segnalano chiavi e token nel testo, mentre i flussi di DLP intercettano esfiltrazioni verso IP non attesi. In parallelo, i piani di continuità prevedono token di emergenza a scope ridotti, pronti all’uso in sostituzione controllata.
CISA e governance del rischio: prioritizzare l’exploited in the wild
Il catalogo KEV definisce la lista di priorità non negoziabili. L’obbligo di remediation per le agenzie FCEB entro date imposte crea un ritmo che il settore privato dovrebbe imitare, almeno per gli asset essenziali. TP-Link TL-WA855RE rappresenta un caso classico: EoL, patch storica e sostituzione consigliata. WhatsApp impone aggiornamenti e hardening lato Apple, con monitoraggi dedicati su account a profilo alto.
Dati nel testo dei ticket: un problema sottovalutato
L’esfiltrazione su case e ticket rivela una grana spesso ignorata: nei workflow di supporto convergono credendiali, endpoint, dump di configurazione e copia-incolla da console. La disciplina editoriale sui campi testuali diventa un controllo di sicurezza. Policy e linting lato CRM possono bloccare pattern come AKIA, Bearer o stringhe riconducibili a JWT, imponendo all’utente la sanitizzazione dei contenuti prima dell’invio.
UNC6395: TTP, obiettivi e resilienza difensiva
Le tattiche di UNC6395 sfruttano l’asimmetria dei token: un singolo refresh valido spalanca settimane di persistenza se non revocato. Il mascheramento tramite Tor e user agent legittimi alza la soglia di rilevazione. Le difese devono rispondere con telemetria multilivello, mappatura degli scope, timeout più aggressivi e convalida contestuale degli accessi, inclusi orari, aree geografiche e ritmi di interrogazione.
Lezioni per cloud e networking: zero-trust applicato
Gli eventi confermano che zero-trust non è solo network ma anche applicativo. La validazione continua del contesto su Salesforce e sui connettori come Drift riduce il rischio di sessioni abusive. La segmentazione dei privilegi, la separazione degli ambienti e l’uso di segreti effimeri limitano il danno. La visibilità su API e audit trail consente di ricostruire la catena degli eventi anche se i log vengono alterati.
Threat model OAuth e catene SaaS
Il threat model OAuth impone di trattare access token e refresh token come credenziali primarie: la loro gestione, rotazione e revoca richiedono pipeline automatizzate e telemetria coerente tra app, IdP e CRM. La campagna su Salesloft Drift dimostra che i dati operativi nascosti nei ticket possono diventare armi. Il catalogo KEV della CISA ricorda che la prioritizzazione deve concentrarsi su ciò che è sfruttato in the wild, anche se la CVE è vecchia o riguarda dispositivi EoL. L’unione di governance dei connettori, zero-trust applicativo e igiene dei dati nei workflow di supporto riduce drasticamente la superficie d’attacco e comprime il tempo di permanenza degli attori.
