AWS Bedrock AgentCore Code Interpreter で新たに開示された脆弱性により、研究者がサンドボックス分離をバイパスし、秘密のコマンド・アンド・コントロール (C2) チャネルを確立する方法を実証した後、深刻な懸念が生じています。
CVSS v3 スコア 7.5 が割り当てられた問題により、攻撃者は DNS トラフィックを通じて機密データを流出させ、従来のネットワーク防御をトリガーすることなくリモート コマンドを実行できます。
AWS はサンドボックスを Firecracker microVM で実行されるセキュアな実行環境として宣伝しており、強力な計算分離を提供しています。
しかし、研究者はネットワーク層に重大なギャップを発見しました。つまり、アウトバウンド DNS リクエストが許可されており、特に A および AAAA レコード検索のためです。
一見些細なこの許可は、強力な攻撃ベクトルを生成します。攻撃者がプロンプト インジェクション、悪意のある AI 生成コード、またはサプライ チェーン侵害を通じてインタープリータ内でコード実行を獲得した場合、DNS クエリを悪用して外部サーバーと通信できます。
攻撃は、攻撃者が制御する DNS サーバーを継続的にポーリングすることで機能します。コマンドは、DNS 応答で返される IP アドレス内でエンコードされた状態で、侵害された環境に返送されます。
これらの値は、サンドボックス内で実行可能な命令に再構成されます。
同時に、侵害されたシステムは、base64 チャンクを使用して DNS サブドメイン クエリにデータをエンコードして流出させます。
これにより、DNS トラフィック全体で動作する、完全に機能する双方向 C2 チャネルが生成されます。
Code Interpreter に過度に制限のない AWS Identity and Access Management (IAM) ロールが割り当てられた場合、影響はより深刻になります。
研究者は、攻撃者がこれらのアクセス許可を活用して、S3 バケットや DynamoDB を含む他の AWS サービスをクエリできることを実証しました。
すべての通信は DNS 経由で発生するため、HTTP または TCP トラフィックに焦点を当てた標準の監視ツールはアクティビティの検出に失敗する可能性があります。これにより、そのような攻撃のステルス性と永続性が大幅に増加します。
AWS は動作にパッチを当てていませんが、代わりにそのドキュメントで DNS 解決が Sandbox モードで意図的に許可されていることを明確にしています。これにより、展開をセキュアにする責任は組織に委ねられます。
この脆弱性は、従来の分離の仮定が成り立たない可能性がある AI 統合クラウド サービスの進化するリスクを強調しています。
組織は、特に動的な AI 生成コードを実行する環境では、DNS ベースの流出などの非従来的なチャネルを考慮するようにセキュリティ戦略を適応させる必要があります。
翻訳元: https://cyberpress.org/aws-bedrock-agentcore-flaw/