AWS ha scoperto che la sandbox del suo Code Interpreter faceva passare query DNS verso l'esterno. Ha fixato il bug. Poi ha rollbackato il fix. Poi ha riscritto la documentazione per far sembrare che fosse tutto previsto. E adesso vi chiede di pagare di più per avere l'isolamento che credevate di avere già.
La sandbox che non era una sandbox
Kinnaird McQuade, Chief Security Architect di BeyondTrust Phantom Labs, ha fatto quello che qualunque penetration tester competente farebbe con un ambiente che dichiara isolamento completo senza accesso alla rete esterna: ha provato a mandare una query DNS. Ed è passata. Record A, record AAAA, tutto aperto. La microVM Firecracker — la stessa tecnologia di Lambda — isola il compute in modo robusto, ma lascia il DNS spalancato perché serve alle operazioni S3. Il risultato è un canale bidirezionale perfetto per command-and-control e data exfiltration, nascosto dentro il traffico più innocuo che esista.
Il vettore d'attacco è elegante nella sua semplicità: un file CSV con istruzioni embedded. L'agente AI lo analizza, genera codice Python, e quel codice include logica di exfiltration che codifica i dati rubati nelle query DNS. CVSS 7.5, rivisto al ribasso da 8.1. Nessun CVE assegnato. La ricompensa per McQuade? Una gift card da 100 dollari per il merchandise shop di AWS.
270 pacchetti, zero controlli
Il Code Interpreter di Bedrock AgentCore non è un ambiente minimale. Ha accesso a oltre 270 pacchetti third-party. I ruoli IAM di default includono accesso completo a DynamoDB, accesso completo a Secrets Manager e lettura su tutti i bucket S3 dell'account. Il proof-of-concept ha dimostrato exfiltration di PII, chiavi API e dati finanziari direttamente da S3. Ma c'è di peggio: con un bypass banale — variable splitting più encoding base64 — si raggiunge il Metadata Service della microVM all'indirizzo 169.254.169.254 e si estraggono le credenziali IAM temporanee. A quel punto non stai più exfiltrando dati da una sandbox. Stai pivotando nell'infrastruttura cloud del cliente.
