Назад к блогу

Уязвимость в AWS Bedrock AgentCore: обход песочницы и риски для безопасности данных

3 мин. чтения1 просмотровИИ-генерацияуправление уязвимостямиоценка рисковуправление поверхностью атакиeasm

Уязвимость в AWS Bedrock AgentCore: обход песочницы и риски для безопасности данных

В марте 2024 года в сообществе безопасности обсуждалась потенциальная уязвимость, связанная с режимом сетевой изоляции сервиса AWS Bedrock AgentCore Code Interpreter — управляемого сервиса для выполнения кода AI-агентов в изолированной среде. В официальной документации AWS указано, что среда исполнения в режиме «песочницы» ограничивает исходящий сетевой трафик, однако было показано, что разрешены исходящие DNS-запросы, что теоретически может быть использовано для организации скрытых каналов командования и управления (C2) и эксфильтрации данных. На момент подготовки материала не удалось найти официальных комментариев или патчей от AWS по данному вопросу.

Данное наблюдение было опубликовано в виде доказательства концепции (PoC) в одном из открытых репозиториев исследователей безопасности, где подробно описываются ограничения, заявленные в документации AWS, и способы их обхода через DNS-трафик. Важно отметить, что подобная возможность не была официально признана уязвимостью AWS, а рассматривается как потенциальный вектор атаки при определённых условиях.

Особенности уязвимости в AWS Bedrock AgentCore

AWS Bedrock AgentCore — это сервис, предоставляющий возможность запускать AI-агентов с поддержкой выполнения кода в изолированной среде, где сетевой доступ ограничен для повышения безопасности. В частности, режим «песочницы» ограничивает исходящий трафик, позволяя, согласно документации AWS, только DNS-запросы для обеспечения базовой функциональности.

Исследователи безопасности продемонстрировали, что через разрешённые DNS-запросы злоумышленники могут создавать скрытые каналы связи с внешними серверами. Такие каналы позволяют:

  • Передавать команды злоумышленникам в обход стандартных механизмов контроля;
  • Экспортировать данные из изолированной среды, обходя ограничения на сетевой трафик;
  • Маскировать вредоносную активность под легитимные DNS-запросы, что затрудняет обнаружение.

Таким образом, несмотря на заявленные ограничения, режим «песочницы» не обеспечивает полного сетевого разделения и может стать точкой компрометации.

Почему это важно для организаций, управляющих внешней поверхностью атаки

Для компаний, использующих облачные AI-сервисы и управляемые среды исполнения, подобные возможности обхода ограничений представляют серьёзную угрозу. Внешняя поверхность атаки (External Attack Surface) расширяется за счёт сервисов, которые считаются безопасными и изолированными, но на практике могут служить каналами утечки данных или внедрения команд злоумышленников.

Особенно это актуально для организаций, где AI-агенты обрабатывают конфиденциальную информацию или выполняют критичные задачи. Потенциальный обход сетевых ограничений в таких сервисах может привести к:

  • Нарушению конфиденциальности данных;
  • Потере контроля над AI-агентами и их поведением;
  • Распространению вредоносного ПО через скрытые каналы связи.

Кроме того, сложности с обнаружением таких скрытых C2-каналов усложняют работу команд безопасности и увеличивают время реагирования на инциденты.

Практические рекомендации для команд безопасности

Для минимизации рисков, связанных с подобными обходами ограничений в управляемых облачных сервисах, специалистам по информационной безопасности следует учитывать следующие меры:

  • Провести аудит используемых облачных сервисов и их сетевых возможностей, особенно в части разрешённых протоколов и типов трафика.
  • Мониторить DNS-трафик на предмет аномалий, включая необычные запросы к неизвестным доменам или частые повторяющиеся запросы, которые могут указывать на скрытые каналы.
  • Ограничить возможности исходящего трафика из песочниц и изолированных сред, если это возможно, или использовать дополнительные средства фильтрации и анализа.
  • Внедрять системы обнаружения вторжений (IDS/IPS), способные анализировать DNS-трафик и выявлять подозрительные паттерны.
  • Обновлять и отслеживать информацию о новых уязвимостях в используемых сервисах, чтобы своевременно применять патчи и рекомендации поставщиков.
  • Проводить обучение сотрудников по особенностям безопасности облачных AI-сервисов и возможным вектам атак, чтобы повысить осведомлённость и готовность к инцидентам.

Управление внешней поверхностью атаки требует комплексного подхода, включающего не только контроль традиционных сетевых границ, но и глубокий анализ поведения сервисов и приложений. Возможности обхода ограничений, подобные описанным для AWS Bedrock AgentCore, подчёркивают важность постоянного мониторинга и адаптации стратегий безопасности в условиях быстрого развития облачных технологий и AI.

Источник: информация основана на открытых материалах сообщества исследователей безопасности и официальной документации AWS по Bedrock AgentCore. На момент подготовки материала официальных заявлений AWS по данному вопросу не опубликовано.

Поделиться:TelegramVK

Похожие статьи

Восемь уязвимостей в AWS Bedrock: что это значит для безопасности корпоративных систем

24 мар. 20263 мин. чтения2
управление поверхностью атакиуправление уязвимостямиоценка рисковeasm

Появился PoC-эксплойт для критической уязвимости Cisco SD-WAN, активно эксплуатируемой в реальной среде

6 мар. 20262 мин. чтения2
управление уязвимостямиуправление поверхностью атакиeasmоценка рисков

Критическая уязвимость в Cisco Secure Firewall Management Center: удалённое выполнение кода и полный контроль над системой

6 мар. 20262 мин. чтения2
управление уязвимостямиуправление поверхностью атакиeasmвредоносное пооценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.