Lỗ hổng DNS Exfiltration trên AWS Bedrock AgentCore: Khi "Sandbox" không thực sự cách ly

Trong thế giới của các ứng dụng AI tạo sinh (GenAI), việc đảm bảo môi trường thực thi mã an toàn là ưu tiên hàng đầu. Tuy nhiên, một phát hiện mới đây liên quan đến AWS Bedrock AgentCore Code Interpreter đã dấy lên hồi chuông cảnh báo về tính hiệu quả của các cơ chế "Sandbox". Lỗ hổng này không chỉ đơn thuần là một lỗi kỹ thuật mà còn là minh chứng cho thấy các rào cản mạng truyền thống có thể bị vượt qua một cách tinh vi như thế nào để rò rỉ dữ liệu nhạy cảm.

Tổng quan về AWS Bedrock AgentCore Code Interpreter

AWS Bedrock AgentCore Code Interpreter là một dịch vụ được quản lý, đóng vai trò như một "bộ não" thực thi cho các tác nhân AI. Nó cho phép chatbot hoặc các ứng dụng AI chạy các đoạn mã Python, JavaScript và shell để xử lý dữ liệu phức tạp theo yêu cầu của người dùng, tương tự như tính năng Code Interpreter của ChatGPT.

Để đảm bảo an ninh, AWS cung cấp ba chế độ cấu hình mạng: Public, VPC và Sandbox. Trong đó, chế độ Sandbox được quảng bá là lựa chọn an toàn nhất với cam kết "cách ly hoàn toàn và không có quyền truy cập ra bên ngoài". Tuy nhiên, thực tế nghiên cứu từ BeyondTrust Phantom Labs đã chỉ ra một lỗ hổng nghiêm trọng nằm ngay trong chính cam kết này.

Phân tích lỗ hổng trong AWS Bedrock AgentCore Code Interpreter

Lỗ hổng cốt lõi nằm ở sự mâu thuẫn giữa lý thuyết và thực tế trong cấu hình mạng của Sandbox. Mặc dù AWS thiết lập để chặn toàn bộ lưu lượng internet thông thường (HTTP/HTTPS), họ đã vô tình bỏ quên giao thức phân giải tên miền (DNS).

Các nhà nghiên cứu tại BeyondTrust phát hiện ra rằng các truy vấn bản ghi DNS dạng A và AAAA vẫn có thể thoát ra khỏi môi trường Sandbox một cách tự do. Điều này đồng nghĩa với việc dù môi trường thực thi mã bị khóa chặt về mặt kết nối dữ liệu trực tiếp, nó vẫn duy trì một "khe hở" nhỏ để giao tiếp với thế giới bên ngoài thông qua các máy chủ phân giải tên miền. Đây chính là điểm khởi đầu cho một cuộc tấn công rò rỉ dữ liệu (data exfiltration) quy mô lớn.

Cơ chế thiết lập kênh điều khiển C2 qua DNS

Để chứng minh mức độ nguy hiểm, các chuyên gia đã xây dựng một giao thức điều khiển và kiểm soát (C2) hai chiều hoàn chỉnh hoạt động hoàn toàn dựa trên DNS. Phương thức này biến các truy vấn DNS thông thường thành các gói tin chứa dữ liệu mã hóa.

Cụ thể, quá trình tấn công diễn ra theo hai hướng:

• Nhận lệnh (Inbound): Kẻ tấn công gửi lệnh đến trình thông dịch bên trong Sandbox thông qua các phản hồi bản ghi DNS A. Các lệnh này được mã hóa Base64 và nhúng vào các octet của địa chỉ IP trong phản hồi DNS. Trình thông dịch sẽ đọc các octet này, giải mã và thực thi lệnh shell.

• Gửi dữ liệu (Outbound): Kết quả của lệnh thực thi được trình thông dịch mã hóa Base64 và đính kèm vào các subdomain trong truy vấn DNS (ví dụ: [data-chunk].attacker.com). Một máy chủ tên (Name Server) do kẻ tấn công kiểm soát trên EC2 sẽ thu thập các truy vấn này và ghép nối lại thành dữ liệu hoàn chỉnh.

Kết quả là kẻ tấn công có được một Reverse Shell tương tác đầy đủ. Việc này cho phép chúng thực thi lệnh từ xa (Remote Code Execution) ngay trong một môi trường vốn được coi là "biệt lập hoàn toàn".

Hệ lụy từ quyền hạn IAM và rủi ro rò rỉ dữ liệu

Mối đe dọa không chỉ dừng lại ở việc chiếm quyền điều khiển trình thông dịch. Nguy hiểm thực sự nằm ở quyền hạn IAM (Identity and Access Management) mà dịch vụ này được cấp. Theo mặc định, Code Interpreter hoạt động với một vai trò IAM cụ thể, và trong nhiều trường hợp, vai trò này được cấu hình với quyền hạn quá rộng.

Thông qua DNS shell, các nhà nghiên cứu đã chứng minh khả năng sử dụng AWS CLI để:

• Liệt kê và truy xuất dữ liệu từ các S3 bucket.

• Truy cập toàn diện vào các bảng dữ liệu trong DynamoDB.

• Đọc các bí mật nhạy cảm (API keys, mật khẩu) từ Secrets Manager.

Việc vi phạm nguyên tắc "đặc quyền tối thiểu" (least privilege) này khiến các thông tin nhận dạng cá nhân (PII), hồ sơ tài chính và thông tin xác thực hệ thống của khách hàng có thể bị đánh cắp một cách âm thầm mà không để lại dấu vết rõ ràng trên các hệ thống giám sát lưu lượng mạng thông thường.

Phản hồi từ AWS và những diễn biến đáng chú ý

Lỗ hổng đã được báo cáo qua chương trình Bug Bounty (HackerOne) vào tháng 9 năm 2025. Mặc dù ban đầu được đánh giá ở mức độ nghiêm trọng (CVSS 8.1), nhưng quá trình xử lý của AWS lại gây ra nhiều tranh luận trong cộng đồng bảo mật.

Sau một nỗ lực vá lỗi không thành công vào tháng 11 năm 2025, đến cuối tháng 12, AWS tuyên bố sẽ không phát hành bản sửa lỗi vĩnh viễn cho chế độ Sandbox. Thay vào đó, họ chọn cách cập nhật tài liệu hướng dẫn để làm rõ rằng Sandbox vẫn cho phép phân giải DNS và khuyến nghị người dùng chuyển sang chế độ VPC nếu muốn cách ly thực sự. Động thái trao tặng thẻ quà tặng 100 USD cho nhà nghiên cứu cũng được xem là một phản hồi khá khiêm tốn so với tầm ảnh hưởng tiềm tàng của lỗ hổng này.

Rủi ro từ bề mặt tấn công AI đang mở rộng

Lỗ hổng này không đứng cô lập mà giao thoa với các vector tấn công mới trong kỷ nguyên AI. Kẻ tấn công không nhất thiết phải có quyền truy cập trực tiếp để khai thác kênh DNS C2 này; chúng có thể tận dụng các kỹ thuật như:

• Prompt Injection: Thao túng chatbot để nó tự động thực thi các đoạn mã chứa lệnh rò rỉ dữ liệu.

• Tấn công chuỗi cung ứng: Khai thác các lỗ hổng trong hơn 270 thư viện bên thứ ba (như pandas, numpy) mà Code Interpreter sử dụng.

• AI Code Manipulation: Lợi dụng việc AI tạo ra mã Python có chứa các đoạn mã độc hại được ẩn giấu.

Ngoài ra, những nghiên cứu trước đó từ Sonrai Security về việc rò rỉ thông tin qua Metadata Service cũng cho thấy cấu trúc bảo mật của AgentCore đang tồn tại những điểm yếu mang tính hệ thống trong việc thiết kế sandbox.

Sự cố này là bài học đắt giá cho các doanh nghiệp khi triển khai các giải pháp AI. Đừng quá tin tưởng vào các nhãn dán "Sandbox" mặc định. Để bảo vệ dữ liệu nhạy cảm, việc cấu hình chế độ VPC và áp dụng chặt chẽ nguyên tắc đặc quyền tối thiểu cho các vai trò IAM là bước đi không thể thiếu.