Sommario
Gli attacchi recenti a integrazioni Salesforce hanno colpito aziende come Workiva e Palo Alto Networks, mentre Microsoft affronta problemi legati agli aggiornamenti di sicurezza di agosto 2025 che generano prompt UAC imprevisti. In parallelo, la CISA statunitense inserisce due nuove vulnerabilità attivamente sfruttate nel catalogo KEV, richiedendo mitigazioni immediate. Il panorama delle minacce evidenzia una fragilità strutturale nelle piattaforme SaaS e nella gestione OAuth, amplificata da vulnerabilità nei sistemi operativi e dispositivi di rete. Gruppi come ShinyHunters guidano campagne mirate contro Salesforce sfruttando token OAuth compromessi per accedere a dati sensibili, mentre le organizzazioni sono costrette a rafforzare le contromisure, tra cui Zero Trust, MFA e audit regolari. Gli eventi pongono al centro il tema della sicurezza supply chain, rendendo urgente la revisione delle pratiche di integrazione cloud e la gestione dei privilegi. La combinazione tra attacchi sofisticati e falle storiche evidenzia la necessità di una vigilanza continua e di una cooperazione estesa tra vendor e utenti per proteggere gli ecosistemi digitali.
Salesforce, breach e supply chain: la campagna ShinyHunters
La campagna guidata da ShinyHunters sfrutta token OAuth rubati da Salesloft e Drift per ottenere accesso non autorizzato a istanze Salesforce di aziende come Workiva, Palo Alto Networks e altre. L’attacco, durato tra l’8 e il 18 agosto 2025, ha consentito l’esfiltrazione massiva di dati da oggetti CRM come Account, Contact, Case e Opportunity, mediante l’uso delle API Bulk di Salesforce e di tool Python asincroni. I dati rubati includono contatti aziendali, ticket di supporto e credenziali sensibili come chiavi AWS e token Snowflake. Gli attori eliminano le query eseguite per ostacolare le indagini, complicando le attività forensi. Le evidenze mostrano user agent sospetti come Python/3.11 aiohttp/3.12.15 e accessi da nodi Tor, rendendo difficile il tracciamento. Il vettore principale rimane l’integrazione di terze parti, con l’OAuth come anello debole in una catena di fiducia che collega provider SaaS. Le tecniche di evasione includono vishing mirato per ottenere token e la compromissione di repository Git contenenti segreti hardcoded. Gli incidenti confermano come OAuth mal gestito apra varchi enormi nei sistemi aziendali, specialmente in ambienti che delegano autorizzazioni a strumenti esterni.
Workiva conferma il breach: impatti e risposta
Workiva ha confermato che il proprio CRM basato su Salesforce è stato violato tramite token OAuth sottratti tramite Drift. L’azienda ha precisato che l’accesso è avvenuto solo a contatti business: nomi, email e numeri telefonici sono stati esposti, insieme a contenuti di ticket di supporto. Tuttavia, nessun dato interno è stato compromesso. La piattaforma core di Workiva non è stata intaccata. In risposta, Workiva ha notificato i clienti con comunicazioni ufficiali e ha isolato il vendor coinvolto, rafforzando i controlli sui token OAuth. Ha inoltre fornito indicazioni chiare per evitare frodi, specificando che non invierà mai richieste di password via email o telefono. La compromissione è stata associata alla più ampia campagna ShinyHunters che ha colpito altre aziende come Zscaler, Tenable, Proofpoint, Rubrik, Dior, Tiffany, Qantas, Adidas e Workday. Questo dimostra un ampio abuso della supply chain SaaS, dove la fiducia accordata ai partner tecnologici si traduce in punti d’accesso privilegiati per attori malevoli. L’azienda ha rafforzato l’adozione di autenticazione multifattore su OAuth, ha ruotato i token compromessi e ha implementato log monitoring avanzato per intercettare future anomalie. L’educazione del personale contro il vishing è diventata prioritaria, mentre le revisioni delle policy di integrazione vengono accelerate. L’evento ha messo in luce come le dipendenze SaaS rappresentino vettori critici di rischio.
Palo Alto Networks isola l’incidente e avvia l’indagine con Unit 42
Anche Palo Alto Networks è stata colpita dalla campagna ShinyHunters, ma ha reagito con prontezza esemplare, isolando immediatamente il vendor terzo integrato con la propria istanza Salesforce. L’azienda ha confermato che nessun prodotto o servizio è stato impattato e che l’evento si è limitato a contatti business e dati relativi a sales account e support case. L’indagine è stata condotta in collaborazione con Unit 42, che ha pubblicato un threat brief tecnico sull’incidente. I log di Salesforce mostrano query SOQL sospette (come UniqueQuery) e accessi anomali ai Bulk API. Sono stati anche identificati indicatori di compromissione (IOC) legati a user agent non convenzionali, traffico da proxy, e tentativi di esfiltrazione massiva. Unit 42 ha raccomandato una revisione degli audit trail, delle autenticazioni IdP, e del network flow in entrata e uscita dalle API Salesforce. I team di sicurezza hanno impiegato strumenti automatici per identificare pattern di credenziali esposte, come chiavi AWS (AKIA) e URL di login anomali. In risposta, Palo Alto ha attivato misure di contenimento: Zero Trust, accessi condizionali, least privilege, e aggiornamenti dei processi di governance OAuth.
Microsoft e i problemi causati dalla patch CVE-2025-50173
Il bollettino di sicurezza di agosto 2025 di Microsoft ha introdotto una patch per la vulnerabilità CVE-2025-50173, una escalation di privilegi a livello SYSTEM che può essere sfruttata da utenti autenticati tramite il servizio Windows Installer. Tuttavia, la patch KB5063878 e quelle successive hanno causato un effetto collaterale importante: l’apparizione di prompt UAC (User Account Control) anche durante riparazioni e installazioni di app da parte di utenti standard, compromettendo l’esperienza utente. Le configurazioni coinvolte includono Active Setup, Secure Desktop e l’uso di pacchetti MSI pubblicizzati tramite ConfigMgr. Tra le applicazioni colpite vi sono AutoCAD, Office Professional Plus 2010 (con errore 1730) e altri software che dipendono da configurazioni utente specifiche. L’impatto si estende a Windows 11 (22H2, 23H2, 24H2), Windows 10 (21H2, 22H2, 1809) e a versioni server dal 2012 al 2025 (inclusi LTSC e LTSB). Il workaround consigliato prevede di lanciare le applicazioni come amministratore tramite il menu Start. Gli amministratori IT possono applicare Group Policy KIR o contattare il supporto Microsoft per implementare mitigazioni temporanee. Microsoft è al lavoro su un fix permanente che consenta esenzioni per app specifiche. Il rollout sarà incluso in un aggiornamento futuro.
CISA aggiunge CVE critiche al catalogo KEV
Il catalogo Known Exploited Vulnerabilities (KEV) di CISA si arricchisce di due nuove voci:
CVE-2025-9377: TP-Link Archer C7(EU) and TL-WR841N/ND(MS) OS Command Injection Vulnerability
CISA ha imposto alle agenzie federali di applicare mitigazioni entro il 23 settembre 2025, in base alla direttiva BOD 22-01. TP-Link ha rilasciato firmware aggiornati. La presenza di vulnerabilità storiche nel KEV evidenzia che flaw vecchi possono ancora essere weaponizzati, specialmente in ambienti non aggiornati.
Implicazioni strategiche per la sicurezza digitale
La concatenazione di questi eventi rappresenta una crisi nella fiducia verso le architetture integrate. Le aziende dipendono da soluzioni SaaS e da integrazioni terze che spesso non vengono controllate con rigore. I token OAuth si rivelano un punto di fallimento critico, soprattutto quando non vengono ruotati o gestiti con policy di accesso granulari. Le campagne di ShinyHunters mostrano un grado di automazione avanzato e una capacità di muoversi lateralmente negli ecosistemi cloud. Gli attacchi non si fermano al breach iniziale ma sfruttano i dati per condurre spear-phishing altamente mirati, attivando una catena di compromissioni successive. Dall’altro lato, i problemi negli aggiornamenti Windows mettono in luce i trade-off tra sicurezza e usabilità. Se da un lato patch critiche come quella per CVE-2025-50173 bloccano escalation di privilegi, dall’altro il loro impatto sulla user experience può generare disruption nei workflow aziendali, costringendo a implementare workaround e testing approfondito prima del rollout. Infine, le aggiunte al KEV di CISA rafforzano l’importanza di monitoraggi continui, scansioni automatiche delle vulnerabilità, e pianificazione di aggiornamenti regolari, anche su dispositivi spesso trascurati come router o app mobile.
