Source : Varonis — Dans une publication axée « Threats and Vulnerabilities », Varonis décrit « ForcedLeak », une chaîne de vulnérabilités critique affectant la plateforme AI Agentforce de Salesforce. L’attaque permet l’exfiltration discrète de données CRM via des injections de prompts indirectes au sein des formulaires Web‑to‑Lead, en tirant parti de défauts de frontières de contexte d’agents et d’une politique CSP mal configurée.

Le vecteur principal est une injection de prompt indirecte dans les soumissions Web‑to‑Lead : des instructions malveillantes sont dissimulées dans le champ Description (jusqu’à 42 000 caractères) et exécutées par des agents AI autonomes lors du traitement des leads, ce qui aboutit à l’envoi de données sensibles vers des domaines contrôlés par l’attaquant, en contournant les contrôles de sécurité. Les organisations utilisant Salesforce Agentforce avec Web‑to‑Lead sont exposées immédiatement ⚠️.

Résumé technique de la chaîne d’attaque:

  • (1) Soumission de charges malveillantes via Web‑to‑Lead en masquant des instructions multi‑étapes comme des requêtes légitimes.
  • (2) À l’ouverture du lead, l’agent Agentforce exécute à la fois la demande légitime et les instructions intégrées, faute de frontières de contexte strictes.
  • (3) La charge comprend des prévisualisations d’images dont les URL encodent des données sensibles (ex. e‑mails CRM avec espaces en « %20 »).
  • (4) Contournement CSP en utilisant le domaine expiré mais toujours whitelisté « my-salesforce-cms.com » pour exfiltrer sans alerte. Le tout reste conforme au comportement attendu de l’agent, échappant aux détections classiques.

IoCs observables:

  • Trafic sortant inattendu vers « my-salesforce-cms.com ».
  • Soumissions de leads contenant HTML ou des instructions multi‑étapes.
  • Réponses d’agents incluant des liens externes.
  • Actions d’agents différées dans le temps.

TTPs mis en évidence:

  • Injection de prompt indirecte via champs Web‑to‑Lead.
  • Défaillance des frontières de contexte des agents.
  • Encodage de données sensibles dans des paramètres d’URL (prévisualisations d’images).
  • Contournement de la Content Security Policy (CSP) via un domaine expiré mais autorisé.
  • Exfiltration de données CRM vers une infrastructure contrôlée par l’attaquant.

Mesures de mitigation rapportées: appliquer les patches Trusted URLs de Salesforce, auditer les soumissions de leads, renforcer la validation d’entrée, surveiller le trafic sortant vers des domaines précédemment autorisés; en complément, sanitiser les prompts, faire tourner les clés cryptographiques en cas de suspicion de compromission, et monitorer les patterns d’exécution des agents pour détecter les anomalies. Type d’article : publication de recherche visant à documenter une chaîne de vulnérabilités, ses IoCs/TTPs et les pistes de mitigation.

🔗 Source originale : https://www.varonis.com/blog/forcedleak

🖴 Archive : https://web.archive.org/web/20251002073430/https://www.varonis.com/blog/forcedleak