{"id":4666,"date":"2025-09-04T14:14:00","date_gmt":"2025-09-04T14:14:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4666"},"modified":"2025-09-04T14:14:00","modified_gmt":"2025-09-04T14:14:00","slug":"datenpanne-bei-palo-alto-networks-zscaler-und-cloudflare","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4666","title":{"rendered":"Datenpanne bei Palo Alto Networks, Zscaler und Cloudflare"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Auch IT-Unternehmen, selbst im Bereich Cyber-Security sind nicht vor erfolgreichen Cyber-Attacken gefeit.<\/p>\n

PeopleImages.com \u2013 Yuri A\/ Shutterstock.com<\/p>\n<\/div>\n

Palo Alto Networks, ZScaler und Cloudflare haben bekannt gegeben, dass sie von einem Cyberangriff \u00fcber Salesloft Drift<\/a> getroffen wurden. Hierbei handelt es sich um eine Drittanbieteranwendung, die Vertriebsabl\u00e4ufe automatisiert. Sie ist in Salesforce-Datenbanken integriert ist, um Leads und Kontaktinformationen zu verwalten.<\/p>\n

Kontaktdaten bei Palo Alto abgeflossen<\/h2>\n

Im Statement<\/a> von Palo Alto hei\u00dft es, dass dieser Angriff die Lieferketten von Hunderten von Unternehmen betroffen hat, darunter auch die eigenen. Der Vorfall beschr\u00e4nke sich auf ihre CRM-Plattform. Produkte oder Dienstleistungen des Anbieters sollen nicht in Mitleidenschaft gezogen worden sein.<\/p>\n

\u201eBei den betroffenen Daten handelt es sich haupts\u00e4chlich um gesch\u00e4ftliche Kontaktinformationen, interne Verkaufskonten und grundlegende Falldaten im Zusammenhang mit unseren Kunden\u201c, so das IT-Sicherheitsunternehmen.<\/p>\n

In Sonderf\u00e4llen gr\u00f6\u00dferer Schaden<\/h2>\n

Palo Alto meldet jedoch auch, dass einige Endnutzer st\u00e4rker betroffen sind als andere. Der Grund hierf\u00fcr soll sein, dass diese Firmen sich dazu entschlossen hatten, sensible Daten in unsicheren Notizfeldern innerhalb von Salesforce zu speichern. Bei den meisten dieser abgeflossenen Daten handelt es sich laut dem Unternehmen ebenfalls um gesch\u00e4ftliche Kontaktinformationen.<\/p>\n

\u201eBei einer kleinen Anzahl von Kunden, die sensible Informationen wie Anmeldedaten in ihren aktuellen Case Notes angegeben hatten, k\u00f6nnten auch diese Daten kompromittiert worden sein\u201c, erkl\u00e4rt ein Sprecher von Palo Alto auf Nachfrage in einer E-Mail an unsere US-Schwesterpublikation CSO.<\/p>\n

St\u00e4rkere Kompromittierung m\u00f6glich<\/h2>\n

Flavio Villanustre, SVP und CISO bei LexisNexis Risk Solutions, erl\u00e4utert, dass die Angriffe im Fall von Zscaler und Palo Alto besonders problematisch sein k\u00f6nnen: Da beide Unternehmen L\u00f6sungen im SASE-Bereich verkaufen, kann ihre Kompromittierung Folgen f\u00fcr Dritte oder sogar Vierte haben.<\/p>\n

Laut dem Experten gelte es zu bedenken, dass beide Unternehmen f\u00fcr den sicheren Zugriff ihrer Kunden in den Authentifizierungsprozess eingebunden sind. Allgemein h\u00e4ngen Vorf\u00e4lle, welche Salesforce-Implementierungen betreffen, entweder mit kompromittierten Identit\u00e4ten, gestohlenen Tokens und offenen Endpoints zusammen. Die Angriffe auf Zscaler und Palo Alto k\u00f6nnten ebenfalls in dieses Muster fallen.<\/p>\n

Informationen aber keine Dateien gestohlen<\/h2>\n

Zscaler geht mit ihrem Statement<\/a> in eine \u00e4hnliche Richtung und stellt klar, dass bei der Attacke OAuth-Token gestohlen wurden, die mit Salesloft Drift verbunden sind.<\/p>\n

Das Unternehmen gibt an, welche Art von Informationen m\u00f6glicherweise abgegriffen wurden:<\/p>\n

Namen,<\/p>\n

E-Mail-Adressen,<\/p>\n

Berufsbezeichnungen,<\/p>\n

Telefonnummern,<\/p>\n

regionale oder standortbezogene Details,<\/p>\n

Zscaler-Produktlizenzen und kommerzielle Informationen sowie<\/p>\n

Klartextinhalte aus bestimmten Supportf\u00e4llen.<\/p>\n

Anh\u00e4nge, Dateien oder Bilder sollen nicht betroffen sein, wie Zscaler verk\u00fcndet.<\/p>\n

Erl\u00e4uterungen und Ma\u00dfnahmen von Palo Alto<\/h2>\n

Palo Altos Unit 42 beschreibt in einem Blogeintrag<\/a>, wie der Angriff ablief und welche Ma\u00dfnahmen das Unternehmen jetzt empfiehlt. In dem Text erkl\u00e4rt das IT-Sicherheitsunternehmen, dass der Angreifer sensible Daten, unter anderem Konto-, Kontakt-, Fall- und Opportunity-Datens\u00e4tze, in gro\u00dfem Umfang gestohlen hat.<\/p>\n

Nachdem er die Daten abgezapft hatte, schien der Angreifer sie aktiv nach Anmeldedaten zu durchsuchen, so Palo Alto. Die Experten vermuten, dass er dies tat, um weitere Angriffe zu erleichtern oder seinen Zugriff zu erweitern.<\/p>\n

Das Unternehmen beobachtet zudem, \u201edass der Angreifer Abfragen gel\u00f6scht hat, um Beweise f\u00fcr die von ihm ausgef\u00fchrten Aufgaben zu verbergen.\u201c Hier vermutet Palo Alto, dass es sich um eine Anti-Forensik-Technik handelt.<\/p>\n

Das Unternehmen empfiehlt deshalb dringend, zum einen Anmeldedaten regelm\u00e4\u00dfig zu \u00e4ndern. Zum anderen sollen \u201edie Anweisungen, um Authentifizierungsaktivit\u00e4ten f\u00fcr Drift Integrations zu validieren\u201c befolgt werden.<\/p>\n

Salesforce gr\u00fcndlich unter die Lupe nehmen<\/h2>\n

Zus\u00e4tzlich raten die Experten, die Salesforce-Anmeldehistorie, die Pr\u00fcfpfade und die API-Zugriffsprotokolle f\u00fcr den Zeitraum vom 8. August 2025 bis heute gr\u00fcndlich zu untersuchen. Insbesondere die Salesforce-Ereignis\u00fcberwachungsprotokolle, sofern diese aktiviert sind, sollen auf ungew\u00f6hnliche Aktivit\u00e4ten in Zusammenhang mit dem Drift Connection User \u00fcberpr\u00fcft werden.<\/p>\n

\u00a0Das IT-Sicherheitsunternehmen r\u00e4t ebenfalls die Authentifizierungsaktivit\u00e4ten der Drift Connected App genauer zu betrachten. Besonderes Augenmerk sollte liegen auf<\/p>\n

verd\u00e4chtigen Anmeldeversuchen,<\/p>\n

ungew\u00f6hnlichen Datenzugriffsmustern,<\/p>\n

Indikatoren, wie der Python\/3.11 aiohttp\/3.12.15 User-Agent-String und<\/p>\n

Aktivit\u00e4ten von bekannten IP-Adressen von Bedrohungsakteuren.<\/p>\n

Au\u00dferdem empfiehlt Palo Alto, UniqueQuery-Ereignisse, die protokollieren, welche Salesforce Object-Query-Language (SOQL)-Abfragen ausgef\u00fchrt werden, zu untersuchen. So soll sich feststellen lassen, welche Salesforce-Objekte, wie Account, Contact, Opportunity und Case, sowie welche Felder innerhalb dieser Objekte der Angreifer abgefragt hat.<\/p>\n

Cloudflare gesteht Teil-Schuld<\/h2>\n

Der Blogbeitrag<\/a> von Cloudflare wiederum unterscheidet sich von den Beitr\u00e4gen von Palo Alto und Zscaler, da der Anbieter eine gewisse Verantwortung f\u00fcr den Vorfall \u00fcbernimmt. Zwar betont das Unternehmen, dass die Sicherheitsverletzung von einem Drittanbieter ausging, der Anbieter Dienste dieses Drittanbieters jedoch selbst zugelassen hatte.<\/p>\n

\u201eWir sind f\u00fcr die Auswahl der Tools verantwortlich, die wir einsetzen, um unser Gesch\u00e4ft zu unterst\u00fctzen\u201c, erkl\u00e4rte Cloudflare und entschuldigte sich bei seinen Kunden.<\/p>\n

Cloudflare schrieb auch, das Daten durchgesickert seien, die niemals h\u00e4tten eingegeben werden d\u00fcrfen. \u201eDa die Support-Case-Daten von Salesforce den Inhalt von Support-Tickets mit Cloudflare enthalten, sollten alle Informationen, die ein Kunde m\u00f6glicherweise mit Cloudflare in unserem Support-System geteilt hat \u2013 einschlie\u00dflich Protokollen, Tokens oder Passw\u00f6rtern \u2013 als kompromittiert betrachtet werden.\u201c<\/p>\n

Das Unternehmen empfiehlt deshalb, alle Anmeldedaten, die Kunden \u00fcber diesen Kanal mit Cloudflare geteilt haben, dringend zu \u00e4ndern.<\/p>\n

Sorgf\u00e4ltig intern pr\u00fcfen<\/h2>\n

Tipps, wie betroffene Unternehmen sich jetzt verhalten sollen, geben auch externe Experten:<\/p>\n

Erik Avakian, technischer Berater bei der Info-Tech Research Group und ehemaliger CISO des US-Bundesstaates Pennsylvania, betont die Bedeutung von Zero-Trust-Prinzipien im Umgang mit Drittanbieter-Apps und OAuth-Tokens. Er r\u00e4t dazu, ungenutzte Tokens regelm\u00e4\u00dfig zu widerrufen und zu aktualisieren sowie deren Ablauf wo m\u00f6glich zu erzwingen. Drittanbieter mit API-Zugriff sowie SaaS sollten zudem wie externe Netzwerke behandelt werden, so der Experte.<\/p>\n

Dar\u00fcber hinaus empfiehlt er Vertr\u00e4ge mit Dritten regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen, um sicherzustellen, dass sie angemessene Sicherheitsbestimmungen enthalten. Wichtig sind dabei Bereiche wie<\/p>\n

die Benachrichtigung bei Verst\u00f6\u00dfen,<\/p>\n

das Recht auf Pr\u00fcfung,<\/p>\n

die Datenverarbeitung und<\/p>\n

die Transparenz von Unterauftragsverarbeitern.<\/p>\n

Letzteres soll Unternehmen dabei helfen, einen \u00dcberblick dar\u00fcber zu haben, \u00a0welche Subunternehmer und Unterauftragsverarbeiter Teil der gesamten Anwendungslandschaft sind.<\/p>\n

Aus API-Fehlern lernen<\/h2>\n

F\u00fcr Will Townsend, Vizepr\u00e4sident und Chefanalyst bei Moor Insights & Strategy, wirft der Angriff die Frage auf, wie es zu dieser Kompromittierung kommen konnte. F\u00fcr ihn sind anscheinend die Integrationen auf API-Ebene verantwortlich. Diese sind angesichts der enormen Anzahl von Aufrufen schwer zu \u00fcberwachen, wie er erl\u00e4utert.<\/p>\n

Mit Blick darauf, dass k\u00fcnftig Interaktion von Tausenden von Agenten innerhalb agentenbasierter KI-Frameworks zu erwarten sind, kann dieser Vorfall aber auch als wertvolle Lernerfahrung dienen. Identit\u00e4ten und Zugriffe zu verwalten, wird in dieser Hinsicht noch schwieriger werden, so der Experte. Zugleich geht er davon aus, \u201edass die API-Sicherheit Schritt halten wird, um zuk\u00fcnftige Angriffe zu vereiteln.\u201c<\/p>\n

Alles schon dagewesen<\/h2>\n

Paddy Harrington, Senior Analyst bei Forrester, beschreibt den Vorfall nur als \u201eeinen weiteren OAuth-Token-Angriff\u201c. Dieser zeige zwar die Gefahren auf, die mit der vernetzten Software-Lieferkette verbunden sind. Der Experte weist aber auch darauf hin, dass dies im Laufe der Jahre schon oft genug passiert ist. Seiner Meinung nach unterstreicht der Vorfall, \u201edass schon eine kleine Fehlkonfiguration ausreicht, um einen Angriff zu erm\u00f6glichen.\u201c<\/p>\n

Er betont, dass die schwierigste Arbeit f\u00fcr CISOs erst noch bevorsteht: Salesforce-Kunden m\u00fcssten ihre Kundendaten durchk\u00e4mmen, um festzustellen, wer betroffen ist, und welche Details m\u00f6glicherweise nach au\u00dfen gelangt sind.<\/p>\n

Der Analyst vermutet zudem, dass Vertriebsmitarbeiter m\u00f6glicherweise mehrere Verbindungstypen, wie sekund\u00e4re E-Mail-Adressen und Telefonnummern von Kontakten, gespeichert haben.<\/p>\n

Das kann zu einer ganzen Reihe von Phishing-, Smishing-, und Vishing-Angriffen mithilfe dieser Gesch\u00e4ftskontakte f\u00fchren, wie er betont. Hierbei geben sich die Angreifer dann als Mitarbeitende von Zscaler, Palo Alto oder einem anderen der Opfer dieses Datenlecks aus, so Harrington.<\/p>\n

Effektiveres Phishing durch Social-Engineering<\/h2>\n

Der Analyst prognostiziert zudem, dass bevorstehende Phishing-Angriffe effektiver als \u00fcblich sein k\u00f6nnen. Seine Annahme begr\u00fcndet er damit, dass Social-Engineering-Angriffe an Schlagkraft gewinnen werden. Dies liege daran, dass die Angreifer nun nicht mehr zuf\u00e4llige Informationen \u00fcber ihr Ziel haben, so Harrington.<\/p>\n

\u201eSie werden \u00fcber g\u00fcltige Verkaufsinformationen aus den exportierten Daten verf\u00fcgen\u201c, wie der Experte erl\u00e4utert. Dadurch wird es viel schwieriger sein, \u201eeinen Betrugsversuch von einem legitimen Anruf beziehungsweise einer legitimen Nachricht zu unterscheiden.\u201c (tf\/jd)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Auch IT-Unternehmen, selbst im Bereich Cyber-Security sind nicht vor erfolgreichen Cyber-Attacken gefeit. PeopleImages.com \u2013 Yuri A\/ Shutterstock.com Palo Alto Networks, ZScaler und Cloudflare haben bekannt gegeben, dass sie von einem Cyberangriff \u00fcber Salesloft Drift getroffen wurden. Hierbei handelt es sich um eine Drittanbieteranwendung, die Vertriebsabl\u00e4ufe automatisiert. Sie ist in Salesforce-Datenbanken integriert ist, um Leads und […]<\/p>\n","protected":false},"author":0,"featured_media":4667,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4666","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4666"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4666"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4666\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4667"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4666"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4666"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4666"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}