Googles Threat Intelligence Group (GTIG) warnt vor einer groß angelegten Kampagne zu Datendiebstahl der kriminellen Gruppe UNC6395. Zunächst schienen die Angriffe mit Salesloft Drift verbundene Salesforce-Instanzen zu betreffen. Neue Analysen zeigen jedoch, dass auch andere mit Salesloft Drift verbundene Systeme gefährdet sind. Alle mit der Drift-Plattform verbundene Authentifizierungstoken müssen als kompromittiert betrachtet werden.

Das schreibt Google in einer aktualisierten Analyse. Zunächst wurde bekannt, dass zwischen dem 8. und mindestens 18. August 2025 die Mitglieder der nicht näher bekannten Gruppe UNC6395 „systematisch große Datenmengen aus Salesforce-Instanzen“ von Unternehmen kopiert haben. Dazu haben sie sich mit kompromittierten OAuth-Token Zugriff verschafft, die aus der KI-Plattform Salesloft Drift stammen. Die Google-IT-Forscher gehen davon aus, dass das Ziel der Angreifer ist, weitere Zugangsdaten zu erlangen.

Die IT-Sicherheitsforscher haben beobachtet, wie die Angreifer nach der Datenausleitung diese nach Informationen durchsucht haben, die sich zur Kompromittierung der Umgebungen der Opfer nutzen lassen. Dazu gehören etwa Anmeldeinformationen zu den Amazon Web Services (AWS), im Speziellen die Zugriffsschlüssel (AKIA, für Langzeit-Zugriffe), Passwörter oder Zugriffstoken mit Snowflake-Bezug. Die Angreifer versuchten, durch Löschen der Anfragen ihr Spuren zu verwischen, allerdings haben sie die Logdateien nicht angefasst – Organisationen können die Protokolle noch nach relevanten Spuren für Datenabfluss durchsuchen.

Salesloft verwirft Zugriffstoken, Problem ist weitreichender

Zunächst hatte Salesloft zusammen mit Salesforce die Zugriffstoken zurückgezogen. Zusätzlich hat das Unternehmen die Drift-App vorerst aus dem Salesforce AppExchange entfernt. Betroffene Organisationen seien von Google, Salesforce und Salesloft benachrichtigt worden. Allerdings ist das Problem weitreichender, wie Googles Threat Intelligence Group nun ergänzt. Nicht nur die Zugangstoken der Salesforce-Integration wurden kompromittiert, sondern potenziell alle Authentifizierungstoken, die von der Salesloft-Drift-Plattform gespeichert oder damit verbunden sind.

Ende vergangener Woche fanden die GTIG-Forscher heraus, dass auch OAuth-Token aus der „Drift Email“-Integration von der kriminellen Gruppierung missbraucht wurden, um Zugriff auf E-Mails in Google-Workspace-Zugängen zu erlangen. Zugriff war damit auf Workspace-Konten möglich, die die Salesloft-Drift-Integration genutzt haben, andere Konten hingegen nicht. Google hat daher die OAuth-Token verworfen, die der Drift-Email-App Zugriff gewähren. Zudem hat das Unternehmen die Integration von Salesloft Drift in Google Workspace deaktiviert, bis die Untersuchungen abgeschlossen sind. Alle Admins von betroffenen Google Workspaces wollen die IT-Sicherheitsforscher benachrichtigen.

Google empfiehlt IT-Verantwortlichen, umgehend alle Drittanbieter-Integrationen, die mit ihrer Salesloft-Drift-Instanz verbunden sind, zu überprüfen und die Zugangsdaten zu verwerfen und neue anzulegen. Sie sollten die verbundenen Systeme auf Anzeichen unberechtigter Zugriffe prüfen. Die Analyse enthält Anzeichen für Angriffe (Indicators of Compromise, IOCs), die Admins für die Prüfung heranziehen sollten.

Insbesondere die Kundenservice-Plattform Salesforce stößt derzeit auf starkes Interesse von Cyberkriminellen. Anfang Juni hatte Google bereits Angriffe auf Salesforce-Zugänge beobachtet. Dort haben die Angreifer jedoch mit Telefonanrufen ihre Opfer überzeugt (Vishing), bösartige „Connected“-Apps in Salesforce zu installieren, mit denen die Täter dann Daten im größeren Stil abgreifen und die Unternehmen damit erpressen konnten.

(dmk)

Aktualisierte Versionen der QTS- und QuTS-hero-Firmware von Qnap-Geräten stopfen Sicherheitslecks, die zum Teil als hohes Risiko eingestuft wurden. Angreifer können sie etwa zum Ausführen beliebiger Befehle oder zu Denial-of-Service-Attacken missbrauchen.

Insgesamt elf Schwachstellen hat Qnap am Wochenende gemeldet, die die Firmware-Updates ausbessern. Am gravierendsten fällt eine Befehlsschmuggel-Lücke aus. Sofern Angreifer aus der Ferne Zugriff auf ein Konto erhalten, können sie beliebige Befehle ausführen (CVE-2025-30264, CVSS 7.7, Risiko „hoch„). Bösartige Akteure aus dem Netz können zudem nach Anmeldung eine weitere Lücke ausnutzen, um außerhalb vorgesehener Speicherbereiche zu schreiben und so Speicher verändern oder stören (CVE-2025-30273, CVSS 7.1, Risiko „hoch„).

Die Aktualisierungen bessern noch weitere Lücken aus, die jedoch lediglich als mittlerer oder niedriger Bedrohungsgrad gelten. Eine NULL-Pointer-Dereference kann einen Denial-of-Service (DoS) auslösen (CVE-2025-29882), ein Pufferüberlauf zu Modifikation von Speicherbereichen (CVE-2025-30265), weitere NULL-Pointer-Dereferences zu DoS führen (CVE-2025-30267, CVE-2025-30268, CVE-2025-30272, CVE-2025-30274) oder eine Path-Traversal-Schwachstelle Lesezugriff auf nicht erwartete Dateien oder Systemdaten ermöglichen (CVE-2025-30270, CVE-2025-30271, CVE-2025-33032).

Updates bereits verfügbar

Betroffen sind davon QTS 5.2.x sowie QuTS hero h5.2.x. Die gute Nachricht ist, dass Firmware-Updates bereits seit Monaten verfügbar sind, welche die nun gemeldeten Sicherheitslücken schließen: QTS 5.2.5.3145 Build 20250526 sowie QuTS hero h5.2.5.3138 Build 20250519 und jeweils neuere Fassungen korrigieren die sicherheitsrelevanten Fehler.

Admins sollten auf ihrem Qnap-Gerät nachschauen, ob die Aktualisierung bereits installiert wurde. Nach Anmeldung als Administrator an der Benutzeroberfläche gelingt das über „Control Panel“ – „System“ – „Firmware Update“. Unter „Live Update“ führt der Klick auf „Check for Update“ zum Herunterladen und Installieren der jüngsten Firmware-Version.

Mitte vergangener Woche hatte Qnap bereits hochriskante Sicherheitslücken in File Station 5 mit Software-Updates geschlossen.

(dmk)