Amazon Bedrock AgentCore : exfiltration DNS en sandbox, et fai...

BeyondTrust a publié lundi une analyse détaillée d'un défaut de conception dans Amazon Bedrock AgentCore Code Interpreter. Le service, lancé en août 2025, fournit des environnements sandbox isolés pour l'exécution de code par des agents IA. Le problème : le mode sandbox autorise les requêtes DNS sortantes, créant un canal d'exfiltration qui contourne l'isolation réseau annoncée.

La vulnérabilité, sans CVE attribué mais évaluée à CVSS 7.5, exploite le fait que la résolution DNS reste fonctionnelle même avec la configuration « no network access ». Un attaquant peut établir un canal bidirectionnel complet via des requêtes et réponses DNS.

Le scénario d'exploitation documenté par BeyondTrust fonctionne en plusieurs étapes. L'attaquant configure un serveur DNS C2 (Command and Control) sur un domaine qu'il contrôle. Le Code Interpreter, compromis via une injection dans le prompt ou un payload malveillant, envoie des requêtes DNS vers ce domaine. Les commandes sont stockées dans des enregistrements DNS A, les résultats sont renvoyés via des sous-domaines dans les requêtes DNS.

Ce mécanisme permet d'obtenir un reverse shell interactif, d'exfiltrer des données sensibles accessibles via le rôle IAM attribué au Code Interpreter (buckets S3, secrets, configurations), et d'exécuter des commandes arbitraires dans l'environnement sandbox.

Le facteur aggravant : le Code Interpreter nécessite un rôle IAM pour accéder aux ressources AWS. Une mauvaise configuration — un rôle trop permissif — étend considérablement le rayon d'impact de l'exploitation. Un rôle avec des permissions S3:GetObject larges donne accès à l'ensemble des données stockées.

Amazon a classé ce comportement comme « fonctionnalité intentionnelle » et recommande la migration vers le mode VPC pour une isolation réseau complète. Les mesures de mitigation incluent le déploiement de Route53 Resolver DNS Firewalls pour filtrer le trafic DNS sortant, l'audit rigoureux des rôles IAM attachés aux instances Code Interpreter selon le principe du moindre privilège, la migration des workloads critiques du mode sandbox vers le mode VPC, et la mise en place de security groups et network ACLs restrictifs.

Parallèlement, Miggo Security a divulgué CVE-2026-25750 (CVSS 8.5), une faille dans LangSmith permettant le vol de tokens d'authentification et le takeover de comptes. La vulnérabilité affecte les déploiements self-hosted et cloud. Le correctif est disponible dans LangSmith version 0.12.71.

Ces découvertes soulignent un problème structurel dans l'écosystème des agents IA : les abstractions de sécurité (sandbox, isolation réseau) ne couvrent pas toujours les canaux auxiliaires comme le DNS. Pour les architectes sécurité, la leçon est claire : le DNS doit être traité comme un vecteur d'exfiltration potentiel dans toute architecture d'isolation, particulièrement pour les environnements d'exécution de code IA.