BeyondTrust montre comment l’environnement « isolé » d’AWS Bedrock AgentCore peut être trompé pour l’exfiltration de données et l’exécution de commandes via DNS.
La promesse d’AWS d’une « isolation complète » pour les flux de travail d’IA agentique sur Bedrock fait l’objet d’un examen minutieux après que les chercheurs ont découvert que son mode sandbox n’était pas aussi scellé qu’annoncé.
Dans une divulgation récente, BeyondTrust a expliqué comment le mode « Sandbox » de l’interprète de code d’AWS Bedrock AgentCore peut être abusé pour briser les limites d’isolement à l’aide de requêtes DNS. Bien que le bac à sable bloque la plupart du trafic sortant, il autorise toujours les requêtes DNS pour les enregistrements A et AAAA, permettant potentiellement aux attaquants d’établir un canal de communication secret, conduisant à l’exfiltration de données et à l’exécution de commandes à distance.
« L’isolation sandbox d’AWS Bedrock a échoué au niveau de la couche la plus fondamentale, le DNS, et la leçon n’est pas qu’AWS a envoyé un bug, mais que les contrôles de périmètre sont architecturalement insuffisants par rapport aux environnements d’exécution d’IA agentique », a déclaré Ram Varadarajan, PDG d’Acalvio. « Aucun logiciel malveillant n’est requis, juste un modèle conforme avec des entrées empoisonnées. »
Les chercheurs de BeyondTrust ont déclaré dans un article de blog qu’AWS avait reconnu le rapport et reproduit le problème au cours du processus de divulgation, mais avait finalement choisi de ne pas corriger le comportement, le qualifiant de « fonctionnalité prévue plutôt que de défaut ».
Le chemin DNS « autorisé » brise l’isolement
Le problème est que l’environnement sandbox autorise les requêtes DNS sortantes, qui peuvent être manipulées pour créer un canal de communication bidirectionnel entre l’agent IA et un serveur externe contrôlé par un attaquant. En codant les données dans des requêtes et des réponses DNS, l’équipe Phantom Labs de BeyondTrust a démontré l’exfiltration de données et même l’établissement d’un shell inversé interactif, sans déclencher de restrictions réseau.
« L’environnement (vulnérable) permet les requêtes DNS sortantes pour les enregistrements A et AAAA, une capacité structurelle que les acteurs malveillants peuvent exploiter pour établir un canal de commande et de contrôle bidirectionnel », a déclaré Jason Soroko, chercheur principal chez Sectigo. Une fois ce canal en place, le reste devient une question d’autorisations. Si l’agent opère avec des rôles IAM trop larges, le rayon d’explosion s’étend rapidement.
« En exploitant ce canal, les attaquants peuvent sécuriser un shell inversé interactif et exécuter des commandes arbitraires », a ajouté Soroko. « Si l’environnement d’exécution de l’IA se voit attribuer des rôles IAM trop permissifs, les attaquants peuvent exfiltrer silencieusement les données cloud sensibles, telles que le contenu du compartiment S3, directement via ces requêtes DNS autorisées. »
Techniquement, le bac à sable n’est pas violé ; il est contourné en utilisant une fonctionnalité qui a toujours été censée être là. Du moins, c’est ce que dit AWS.
AWS aurait annulé un correctif
BeyondTrust a déclaré avoir découvert et signalé la vulnérabilité à AWS le 1er septembre 2025, via la plateforme de bug bounty HackerOne. AWS aurait accusé réception du rapport et déployé un premier correctif en production en novembre.
Cependant, BeyondTrust a été informé quelques jours plus tard que le correctif initial avait été annulé en raison d’« autres facteurs » et qu’AWS travaillait sur une solution plus robuste. Enfin, en décembre, AWS a déclaré à BeyondTrust qu’aucun correctif ne serait apporté car le comportement est une « fonctionnalité prévue » et a plutôt mis à jour sa documentation pour clarifier que le mode Sandbox permet la résolution DNS. Le chercheur de BeyondTrust a reçu une carte-cadeau AWS Gear Shop de 100 $ pour cette découverte.
« Parce qu’AWS a déterminé que ce comportement est une fonctionnalité prévue et a choisi de mettre à jour sa documentation plutôt que de publier un correctif, les équipes de sécurité doivent modifier de manière proactive leurs stratégies défensives », a déclaré Soroko, recommandant aux équipes « d’inventorier toutes les instances actives de l’interprète de code AgentCore » et de « migrer vers le mode VPC ».
Varadarajan suggère une approche plus adaptative. « La réponse architecturale correcte consiste à instrumenter l’environnement d’exécution lui-même avec des artefacts de tromperie – informations d’identification Canary IAM, chemins Honey S3, gouffres DNS – qu’un agent efficace fera inévitablement surface précisément parce qu’il fait bien son travail », a-t-il déclaré. AWS aurait attribué au problème un score CVSS de 7,5. La documentation reflète désormais le changement dans la description du mode Sandbox, qui indique que le mode « fournit un accès limité au réseau externe » par opposition à « fournit une isolation complète sans accès au réseau externe » plus tôt.
