Salesforce’un Ajan Force AI platformunda, harici saldırganların hassas CRM verilerini çalmasına izin verebilecek kritik bir güvenlik açığı zinciri.
Bunu keşfeden NOMA Labs tarafından Dublage olarak adlandırılan güvenlik açığı, CVSS skoru 9.4 ve sofistike bir dolaylı hızlı enjeksiyon saldırısı ile idam edildi.
Bu keşif, geleneksel sistemlere kıyasla otonom AI ajanları tarafından sunulan genişletilmiş ve temel olarak farklı saldırı yüzeyini vurgulamaktadır.
NOMA Labs’ın bildirimi üzerine Salesforce sorunu derhal araştırdı ve o zamandan beri yamaları konuşlandırdı. Düzeltme, ajanfor ajanlarının güvenilmez URL’lere veri göndermesini ve acil riski ele almasını önler.
Araştırma, AI ajanlarının normalde güvenilir veri kaynakları olarak kabul edilen kötü amaçlı talimatlar yoluyla nasıl tehlikeye atılabileceğini göstermektedir.
Zorbalık saldırısı
Saldırı, yetersiz bağlam doğrulaması, aşırı izin veren AI model davranışı ve kritik bir içerik güvenliği politikası (CSP) baypas dahil olmak üzere çeşitli zayıflıklardan yararlandı.
Saldırganlar, yetkisiz komutlar içeren kötü niyetli bir web-lokantıya gönderim oluşturabilirler. AI ajanı bu potansiyel müşteriyi işlediğinde, büyük dil modeli (LLM) kötü niyetli talimatları meşru olarak ele aldı ve bu da hassas verilerin ortaya çıkmasına yol açtı.
LLM, bağlamına yüklenen güvenilir veriler ile saldırganın gömülü talimatları arasında ayrım yapamadı.
Saldırı vektörü dolaylı bir istemi enjeksiyonuydu. Bir saldırganın doğrudan AI’ya komut verdiği doğrudan bir enjeksiyondan farklı olarak, bu yöntem AI’nın rutin bir görev sırasında daha sonra işleyeceği verilere kötü niyetli talimatların yerleştirilmesini içerir.
Bu durumda, saldırgan bir web formunun “açıklama” alanına bir yük getirdi ve daha sonra CRM’de saklandı. Bir çalışan AI temsilcisinden ipucunu gözden geçirmesini istediğinde, temsilci gizli komutları yürüttü.
Bu saldırının başarısında önemli bir faktör, Salesforce’un içerik güvenlik politikasında bir kusurun keşfedilmesiydi. Araştırmacılar alanın my-salesforce-cms.com Beyaz liste ama süresi dolmuş ve satın alınabilir.
Bu alan adını alarak, bir saldırgan veri açığa çıkması için güvenilir bir kanal oluşturabilir. AI ajanı, talimatlarını izleyerek, bu saldırgan kontrolündeki alana hassas veriler göndererek normalde bu tür eylemleri engelleyecek güvenlik kontrollerini atlayacak.
Salesforce, o zamandan beri süresi dolmuş alanı yeniden sağladı ve benzer sorunları önlemek için hem ajanforce hem de Einstein AI için güvenilir URL’lerin uygulanması da dahil olmak üzere daha katı güvenlik kontrollerini uyguladı.
Eğer sömürülürse, ForcedLeak’in ciddi sonuçları olabilirdi. Güvenlik açığı, gizli müşteri iletişim bilgileri, satış boru hattı verileri, dahili iletişim ve tarihsel etkileşim kayıtlarını ortaya çıkarma riskiyle karşı karşıya kaldı.
Salesforce AgentForce’u Web-Lould özelliğine sahip olan herhangi bir kuruluş, özellikle dış olası satış verilerini düzenli olarak işleyen satış ve pazarlamada olanlar potansiyel olarak savunmasızdı.
Salesforce, müşterilerin aşağıdaki işlemleri yapmasını önerir:
- Önerilen güncellemeleri uygulayın Ajan ve Einstein AI için güvenilir URL’leri zorlamak.
- Mevcut olası satış verilerini denetleyin olağandışı talimatlar içeren şüpheli gönderimler için.
- Sıkı giriş doğrulaması uygulayın ve güvenilmeyen kaynaklardan gelen tüm verileri sterilize edin.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
