BeyondTrustは、AWS Bedrock AgentCoreの「分離された」環境がDNS経由でデータ流出とコマンド実行に騙される可能性を示しています。
Bedrockのエージェンティック型AIワークフローに関するAWSの「完全分離」の約束は、研究者がそのサンドボックスモードが宣伝されているほど厳密ではないことを発見した後、精査に直面しています。
最近の開示で、BeyondTrustは、AWS Bedrock AgentCoreのCode InterpreterのSandboxモードがDNSクエリを使用してアイソレーション境界を突破するために悪用される方法の詳細を説明しました。サンドボックスはほとんどのアウトバウンドトラフィックをブロックしていますが、AおよびAAAAレコードのDNSクエリを許可しており、攻撃者が秘密の通信チャネルを確立し、データ流出とリモートコマンド実行につながる可能性があります。
「AWS Bedrockのサンドボックスアイソレーションは最も基本的な層、DNSで失敗しました。教訓は、AWSがバグを出荷したということではなく、境界制御がエージェンティック型AI実行環境に対して建築的に不十分であるということです」と、Acalvio CEOのRam Varadajanは述べました。「マルウェアは必要なく、単に汚染された入力を伴う準拠モデルです。」
BeyondTrust研究者はブログ記事で、AWSが報告を認め、開示プロセス中に問題を再現したが、最終的には動作にパッチを当てないことを選択し、「欠陥ではなく意図された機能」と呼んだと述べています。
「許可された」DNS経路がアイソレーションを突破
問題は、サンドボックス環境がアウトバウンドDNSクエリを許可しており、これは操作してAIエージェントと外部の攻撃者制御サーバーの間に双方向通信チャネルを作成することができるということです。BeyondTrustのPhantom Labsチームは、DNSクエリとレスポンスにデータをエンコードすることで、ネットワーク制限をトリガーすることなく、データを流出させ、インタラクティブなリバースシェルを確立することさえ実証しました。
「(脆弱な)環境は、AおよびAAAAレコードのアウトバウンドDNSクエリを許可しており、脅威アクターが双方向のコマンドアンドコントロールチャネルを確立するために悪用できる構造的許可です」とSectigoのシニアフェローであるJason Sorokoは述べています。そのチャネルが実装されたら、残りは権限の問題です。エージェントが過度に広いIAMロールで動作している場合、被害範囲は急速に拡大します。
「このチャネルを活用することで、攻撃者はインタラクティブなリバースシェルを確保し、任意のコマンドを実行することができます」とSorokoは付け加えました。「AI実行環境に過度に許容的なIAMロールが割り当てられている場合、攻撃者はS3バケットコンテンツなどの機密クラウドデータを、これらの許可されたDNSクエリを通じて直接流出させることができます。」
技術的には、サンドボックスは突破されていません。いつもそこにあるはずだった機能を使ってバイパスされています。少なくともそれがAWSが言っていることです。
AWSが修正をロールバックした疑い
BeyondTrustは、2025年9月1日にバグバウンティプラットフォームHackerOneを経由してAWSに脆弱性を発見・報告したと述べています。AWSは報告の受領を認め、11月に本番環境に初期の修正をデプロイしたと報告されています。
しかし、BeyondTrustは数日後に、初期の修正が「その他の要因」のためにロールバックされたことを知らされ、AWSがより堅牢なソリューションに取り組んでいました。最終的に、12月にAWSはBeyondTrustに、動作が「意図された機能」であるため修正は行われないと告げ、代わりにSandboxモードがDNS解決を許可することを明確にするためにドキュメンテーションを更新しました。BeyondTrust研究者はこの発見に対して100ドルのAWS Gear Shopギフトカードを受け取りました。
AWSのスポークスパーソンはCSOに、すべてのAWSサービスとインフラストラクチャが期待通りに動作していると述べました。「Sandboxモードは、データ操作のためにAmazon S3への排他的なネットワークアクセスを提供し、S3データに依存する本番ワークロードに最適です」とスポークスパーソンは述べました。「DNS解決はS3操作の正常な実行をサポートするために有効になっています。」
「AWSがこの動作は意図された機能であると判断し、パッチを発行するのではなくドキュメンテーションを更新することを選択したため、セキュリティチームは防御戦略を積極的にシフトする必要があります」とSorokoは述べ、チームが「すべてのアクティブなAgentCore Code Interpreterインスタンスをインベントリする」ことと「VPCモードに移行する」ことを推奨しています。
Varadajanはより適応的なアプローチを指摘しています。「正しい建築的対応は、実行環境自体にデセプションアーティファクト(カナリアIAM認証情報、ハニーS3パス、DNSシンクホール)を組み込むことです。効果的なエージェントは、仕事をうまくやっているという理由だけで、必然的にこれらを表面化させます」と彼は述べました。AWSは問題にCVSSスコア7.5を付与したと報告されています。ドキュメンテーションは、Sandboxモードの説明の変更を反映しており、モードが「限定的な外部ネットワークアクセスを提供」することが示されており、以前は「外部ネットワークアクセスなしで完全分離を提供」とされていました。
