Salesforce Ortamlarına Sızmak İçin Kullanılan 3 Yeni Yöntem ve ShinyHunters Operasyonları

Anasayfa » Salesforce Ortamlarına Sızmak İçin Kullanılan 3 Yeni Yöntem ve ShinyHunters Operasyonları
Salesforce Ortamlarına Sızmak İçin Kullanılan 3 Yeni Yöntem ve ShinyHunters Operasyonları

Son bir yıldır ShinyHunters adlı tehdit aktörleri, Salesforce platformundaki herhangi bir güvenlik açığını kullanmadan birçok kurumsal Salesforce ortamına sızmayı başardı. Peki bu erişim nasıl gerçekleşti? Organizasyonların önceden verdiği güvene dayanıyor; özellikle Salesforce ile üçüncü taraf uygulamalar arasındaki OAuth bağlantıları üzerinden.

Saldırı Yöntemleri Nasıl İşliyor?

Yayınlanan analizlere göre, Microsoft araştırmacıları 2025 ortasından 2026 ortasına kadar süren kampanyaları üç ayrı saldırı yöntemiyle ilişkilendirdi. Bu yöntemler; çalışanların kandırılmasıyla kötü amaçlı bağlantılı uygulamaların onaylanması, güvenilen yazılım tedarikçilerinin OAuth tokenlarının ele geçirilmesi ve Salesforce sitelerinde yanlış yapılandırılmış misafir erişimleri. Hepsi de Salesforce’un mevcut kimlik doğrulama ve oturum kayıtlarını atlatmayı başarıyor.

İlk yöntem, telefonla yapılan “vishing” saldırıları. Burada saldırganlar, IT destek personeli rolüne girerek çalışanları Salesforce OAuth onay ekranını geçmeye ikna ediyor. Böylece, saldırganların kontrolündeki uygulama, Salesforce verilerine erişim kazanıyor ve uzun süreli CRM kayıtlarına ulaşabiliyor. İlginç olan, bu saldırıda hiçbir parola hırsızlığı ya da zararlı yazılım kullanılmaması; sadece bir telefon görüşmesi ve onay tıklaması yeterli oluyor.

Diğer yandan, bazı saldırılar doğrudan çalışanları hedef almak yerine, Salesforce OAuth erişimine sahip üçüncü taraf uygulamaların tedarikçi hesaplarını ele geçiriyor. Bu sayede, orijinal kullanıcı gibi davranarak birçok farklı Salesforce ortamında aynı anda veri toplayabiliyorlar. Örneğin, 2025 Ağustos ayında meydana gelen Salesloft Drift vakasında saldırganlar, bu entegrasyonun OAuth tokenlarını ele geçirip yüzlerce kurumsal ortamı etkiledi.

Son olarak, Salesforce Experience Cloud sitelerinin temelini oluşturan Aura framework bileşenlerinde, misafir kullanıcı izinlerinin yanlış yapılandırılması nedeniyle kimlik doğrulaması olmadan erişim sağlanabildiği tespit edildi. Bu durum, saldırganların sorgu limitlerini aşarak çok daha fazla veriye ulaşmasına imkan tanıyor.

Microsoft ve Salesforce’tan Yeni Güvenlik Araçları

Microsoft, bu tehditlere karşı Defender for Cloud Apps içinde yeni tespit ve yönetim araçları geliştirdi. Özellikle Salesforce Shield Event Monitoring ile gerçek zamanlı olay takibi sağlanabiliyor. Ayrıca, bağlı OAuth uygulamaların hangi izinlere sahip olduğu, ne kadar sorgu yaptığı ve normal kullanım davranışından sapma gösterip göstermediği gibi detaylar artık daha net gözlemlenebiliyor.

Yönetim tarafında ise, yüksek yetkili uygulamalar, uzun süredir kullanılmayan ancak canlı izinlere sahip uygulamalar ve her uygulamaya risk puanı verilerek güvenlik ekiplerinin önceliklendirmesine olanak tanınıyor. Bu sayede, gereksiz izinlerin sınırlandırılması ve unutulan bağlantıların temizlenmesi hedefleniyor.

Kurumların Alması Gereken Önlemler

Bu saldırıların temelinde, OAuth tabanlı uygulama izinlerinin yetersiz izlenmesi yer alıyor. Kurumlar, Salesforce ortamlarını Defender for Cloud Apps ile entegre ederek gelişmiş telemetriye kavuşmalı. Ayrıca, Salesforce etkinlik günlüklerini aktif olarak izlemek ve Experience Cloud misafir erişimlerini sıkılaştırmak kritik önem taşıyor.

Uzun vadede yapılması gerekenler ise şu şekilde özetlenebilir: Bağlı uygulamaların tam envanteri çıkarılmalı, kullanılmayan uygulamalar kaldırılmalı ve kalanların izinleri en az ayrıcalık prensibine göre kısıtlanmalı. Herhangi bir anormal davranışta, ilgili OAuth tokenları anında iptal edilip yenilenmeli.

Küresel Etkiler ve Saldırı Zinciri

Bu saldırı kampanyalarının hedefleri arasında perakende, eğitim ve üretim sektörlerinden çok sayıda kurum yer aldı. Google, Adidas, Chanel, Pandora gibi devler de etkilenenler arasında. İlginç olan, kullanılan yöntemlerin klasik kimlik doğrulama önlemlerinden kaçması. MFA, koşullu erişim ve oturum politikaları çoğunlukla insan kullanıcılar için tasarlandığından, OAuth uygulamaları ve servis hesapları çoğu zaman gözden kaçıyor.

Sonuç olarak, saldırganlar yıllardır bu zayıflıktan faydalanıyor. Giriş noktası çoğu zaman basit bir unutulmuş token ya da yanlış yapılandırılmış misafir erişimi oluyor. Bu durum, bulut güvenliği ve kimlik yönetimi alanında yeni yaklaşımların gerekliliğini ortaya koyuyor.

Teknik Özet: Saldırı Zincirinin Ana Hatları

  • Başlangıç: Telefonla sosyal mühendislik (vishing) veya tedarikçi hesaplarının ele geçirilmesi.
  • Orta aşama: OAuth tokenlarının kullanılmasıyla Salesforce API çağrıları ve veri toplama.
  • Son aşama: CRM verilerine kalıcı erişim, ek SaaS platformlarına kapı aralama.

Siber Güvenlik Ekipleri İçin Pratik Kontrol Listesi

  • Salesforce OAuth uygulamalarının periyodik envanterini çıkarın.
  • Kullanılmayan veya şüpheli uygulamaların izinlerini hemen kaldırın.
  • Salesforce Shield Event Monitoring etkinleştirip günlükleri düzenli izleyin.
  • Experience Cloud misafir kullanıcı izinlerini gözden geçirip sıkılaştırın.
  • OAuth token kullanımını gerçek zamanlı izleyen araçları devreye alın.
  • Çalışanları phishing ve vishing saldırılarına karşı bilinçlendirin.
  • 3. taraf tedarikçi hesaplarının güvenlik durumunu düzenli denetleyin.
  • Yetkisiz erişim tespitinde hızlı token iptali ve erişim rotasyonu uygulayın.