概要

Amazon Web Services (AWS)のBedrock AgentCore Code Interpreterに存在する脆弱性が、攻撃者がネットワーク隔離を迂回し、秘密裏にコマンド・アンド・コントロール(C2)チャネルを確立する可能性を示しています。この脆弱性は、CVSSv3スコア7.5を獲得しており、BeyondTrustのPhantom Labsによって発見されました。

脆弱性の詳細

AWSは、このモードが完全な隔離を提供し、外部アクセスが不可能であると広告していましたが、実際には「Sandbox」ネットワークモードでは、AおよびAAAAレコードのための外部DNSクエリが許可されています。この構造的な許可により、攻撃者は機密情報のクラウドデータを漏洩させ、ネットワーク制限をトリガーせずにリモートコマンドを実行することができます。

攻撃の仕組み

攻撃者は、攻撃者が制御するDNSサーバーをポーリングすることで、この脆弱性を悪用します。悪意のあるサーバーは、DNS Aレコード応答のIPアドレス内に文字列化された値としてコマンドを送信します。この結果、コンソールはこれらのコマンドを実行し、出力をDNSサブドメインクエリに埋め込むことで漏洩します。

影響と対策

このバイパスの主な危険は、完全に隔離された環境内で完全なリバースシェルを取得する能力です。さらに、Code Interpreterが過剰なAWS Identity and Access Management (IAM)ロールを割り当てられている場合、攻撃の影響範囲は大幅に拡大します。

セキュリティチームは、AIデプロイメントのセキュリティを積極的に確保する必要があります。組織は、すべてのアクティブなAgentCore Code Interpreterインスタンスを一覧表示し、ネットワーク構成を評価する必要があります。

対策とセキュリティの推奨事項

AWSは、Sandboxモードが意図的にDNS解決を許可することを明記するドキュメントを更新しましたが、パッチを適用することはありませんでした。そのため、組織はVPCモードに移行し、VPCエンドポイントとRoute53 DNS Firewallsを使用して厳格なネットワークアクセス制御リスト(ACLs)を適用する必要があります。

また、管理者は最小権限原則を適用し、Code InterpreterのIAMロールがその目的のタスクに必要な権限のみを保持することを確認する必要があります。

元記事: https://gbhackers.com/aws-bedrock-agentcore-sandbox-bypass/