Los investigadores de ciberseguridad han detallado un nuevo método para extraer datos confidenciales de entornos de ejecución de código de inteligencia artificial (IA) mediante consultas del Sistema de nombres de dominio (DNS).
En un informe publicado el lunes, BeyondTrust reveló que el modo sandbox de Amazon Bedrock AgentCore Code Interpreter permite consultas DNS salientes que los atacantes pueden explotar para habilitar un shell interactivo y evitar el aislamiento de la red. Esta pregunta no tiene identificador CVE y tiene una puntuación CVSS de 7,5 sobre 10,0.
Amazon Bedrock AgentCore Code Interpreter es un servicio totalmente administrado que permite a los agentes de IA ejecutar código de forma segura en un entorno de pruebas aislado para que las cargas de trabajo de los agentes no puedan acceder a sistemas externos. Lanzado por Amazon en agosto de 2025.
Kinnaird McQuaid, arquitecto jefe de seguridad de BeyondTrust, dijo que el hecho de que el servicio permita consultas de DNS a pesar de su configuración de «sin acceso a la red» podría permitir «en ciertos escenarios que un actor de amenazas establezca un canal de comando y control y eluda los controles de aislamiento de red esperados para filtrar datos a través de DNS».
En un escenario de ataque experimental, un atacante puede aprovechar este comportamiento para utilizar consultas y respuestas de DNS para configurar un canal de comunicación bidireccional, obtener un shell inverso interactivo y extraer información confidencial a través de consultas de DNS si el atacante tiene permiso para acceder y ejecutar comandos en recursos de AWS, como un depósito S3 que almacena datos en una función de IAM.
Además, los mecanismos de comunicación DNS podrían explotarse para entregar cargas útiles adicionales al intérprete de código, que podría sondear los servidores de comando y control (C2) DNS, ejecutar comandos almacenados en registros DNS A y devolver resultados a través de consultas de subdominios DNS.
Tenga en cuenta que el intérprete de código requiere una función de IAM para acceder a los recursos de AWS. Sin embargo, un simple descuido puede dar como resultado que a un servicio se le asignen roles demasiado privilegiados y se le otorguen amplios permisos para acceder a datos confidenciales.
«Esta investigación muestra cómo la resolución DNS puede socavar las garantías de aislamiento de la red para los intérpretes de código aislados», dijo BeyondTrust. «Al utilizar este método, un atacante podría filtrar datos confidenciales de los recursos de AWS a los que se puede acceder a través de la función IAM de intérprete de código, lo que podría causar tiempo de inactividad, filtración de datos de información confidencial del cliente o eliminación de infraestructura».
Tras una divulgación responsable en septiembre de 2025, Amazon determinó que se trataba de una característica prevista y no de un defecto y alentó a los clientes a utilizar el modo VPC en lugar del modo sandbox para aislar completamente sus redes. El gigante tecnológico también recomienda utilizar un firewall DNS para filtrar el tráfico DNS saliente.
«Para proteger las cargas de trabajo confidenciales, los administradores deben inventariar todas las instancias activas del intérprete de código AgentCore y migrar inmediatamente las instancias que procesan datos confidenciales del modo sandbox al modo VPC», dijo Jason Soroko, miembro senior de Sectigo.
«Operar dentro de una VPC proporciona la infraestructura necesaria para un aislamiento sólido de la red y permite a los equipos implementar grupos de seguridad estrictos, ACL de red y firewalls DNS Route53 Resolver para monitorear y bloquear resoluciones DNS no autorizadas. Finalmente, los equipos de seguridad deben auditar rigurosamente las funciones de IAM asociadas con estos intérpretes y aplicar estrictamente el principio de privilegio mínimo para limitar el alcance de una posible infracción».
LangSmith se ve afectado por una vulnerabilidad de apropiación de cuentas
Esta divulgación sigue a la divulgación por parte de Miggo Security de una falla de seguridad de alta gravedad en LangSmith (CVE-2026-25750, puntuación CVSS: 8.5) que expone a los usuarios a un posible robo de tokens y apropiación de cuentas. Este problema afecta tanto a las implementaciones autohospedadas como a las implementaciones en la nube y se resuelve en la versión 0.12.71 de LangSmith, lanzada en diciembre de 2025.
Esta falla, caracterizada como un caso de inyección de parámetro URL debido a la falta de validación del parámetro baseUrl, permite a un atacante enviar y robar el token de portador, la ID de usuario y la ID del espacio de trabajo de un usuario que ha iniciado sesión a un servidor bajo su control mediante técnicas de ingeniería social, como engañar a una víctima para que haga clic en un enlace especialmente diseñado como el que se muestra a continuación.
Nube: smith.langchain(.)com/studio/?baseUrl=https:// Attacker-server.com Autohospedado: /studio/?baseUrl=https:// Attacker-server.com
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante obtener acceso no autorizado al historial de seguimiento de IA o exponer consultas SQL internas, registros de clientes de CRM o código fuente propietario mediante la revisión de llamadas a herramientas.
«Los usuarios de LangSmith que hayan iniciado sesión podrían verse comprometidos simplemente visitando un sitio controlado por un atacante o haciendo clic en un enlace malicioso», dijeron los investigadores de Miggo, Liad Eliyahu y Eliana Vuijsje.
«Esta vulnerabilidad es un recordatorio de que las plataformas de observabilidad de IA son ahora una infraestructura crítica. Estas herramientas a menudo eluden inadvertidamente las barreras de seguridad en favor de la flexibilidad de los desarrolladores. Este riesgo se exacerba aún más porque, al igual que el software ‘tradicional’, los agentes de IA tienen un profundo acceso a fuentes de datos internas y servicios de terceros».
Fallo de deserialización inseguro de Pickle en SGLang
También se ha informado de una vulnerabilidad de seguridad en SGLang, un popular marco de código abierto para entregar lenguaje a gran escala y modelos de IA multimodal, que, si se explota con éxito, podría conducir a una deserialización insegura de pickle que podría conducir a la ejecución remota de código.
La vulnerabilidad, descubierta por el investigador de seguridad de Orca, Igor Stepansky, aún no ha sido reparada al momento de escribir este artículo. Una breve descripción del defecto es la siguiente:
CVE-2026-3059 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código no autenticado a través del broker ZeroMQ (también conocido como ZMQ). Deserialice datos que no sean de confianza usando pickle.loads() sin autenticación. Esto afecta al módulo de generación multimodal de SGLang. CVE-2026-3060 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código no autenticado con un módulo aislado que utiliza pickle.loads() sin autenticación para deserializar datos que no son de confianza. Esto afecta el sistema de descomposición paralela del codificador SGLang. CVE-2026-3989 (Puntuación CVSS: 7,8): «replay_request_dump.py» de SGLang utiliza una función pickle.load() insegura que carece de validación y deserialización adecuada, que puede explotarse proporcionando un archivo pickle malicioso.
«Los dos primeros permiten la ejecución remota de código no autenticado para implementaciones SGLang que exponen la funcionalidad de descomposición y generación multimodal a la red», dijo Stepansky. «El tercero implica una deserialización insegura en la utilidad de reproducción del volcado de memoria».
El Centro de Coordinación CERT (CERT/CC) declaró en un aviso coordinado que SGLang es vulnerable a CVE-2026-3059 cuando el sistema de generación multimodal está habilitado y a CVE-2026-3060 cuando el sistema de descomposición paralela del codificador está habilitado.
«Si se cumple cualquiera de las condiciones y un atacante conoce el puerto TCP en el que el corredor ZMQ está escuchando y puede enviar solicitudes al servidor, la vulnerabilidad podría explotarse enviando un archivo pickle malicioso al corredor y deserializarlo», afirma el CERT/CC.
Recomendamos que los usuarios de SGLang restrinjan el acceso a la interfaz del servicio y eviten el acceso a ella en redes que no sean de confianza. También recomendamos implementar controles de acceso y segmentación de red adecuados para evitar interacciones no autorizadas con los puntos finales de ZeroMQ.
Aunque no hay evidencia de que estas vulnerabilidades hayan sido explotadas, es importante monitorear conexiones TCP entrantes inesperadas al puerto del broker ZeroMQ, procesos secundarios inesperados generados por el proceso SGLang Python, creación de archivos en ubicaciones inusuales por parte del proceso SGLang y conexiones salientes del proceso SGLang a destinos inesperados.
Source link
