Global S3: Canal C2 em Interpretadores de Código do AgentCore
Aprofundamento CEVIU
Aprofundamento
O AgentCore da Amazon Bedrock, lançado globalmente no final de 2025, promete sandboxing seguro para execução de código em agentes de IA, mas sua documentação oficial permite acesso explícito ao S3, e isso virou um vetor operacional real para C2. Diferente de exfiltrações via DNS (já corrigidas), o canal S3 é ativo, bidirecional e silencioso: um atacante configura um bucket externo, injeta um script cliente no interpretador que lê comandos de um objeto e escreve saídas de volta, usando URLs pré-assinadas como mensageiro. Não há tráfego HTTP suspeito para fora do ambiente, porque tudo flui por endpoints S3 legítimos, o que escapa de firewalls de saída e ferramentas de detecção baseadas em padrões de rede.
Isso não é teórico: a CVE-2026-4269 (divulgada em 16/03/2026) já havia exposto falha de verificação de propriedade de bucket no Starter Toolkit v0.1.12 ou anterior, permitindo RCE no runtime. Agora, com a nova técnica, mesmo após essa correção, o canal persiste, porque o problema não está na autenticação do bucket, mas na confiança implícita no acesso S3 como 'seguro por padrão'. O modo VPC não é uma alternativa opcional; é a única forma de isolar o sandbox de serviços AWS públicos sem depender de políticas IAM frágeis.
O que mudou
A cobertura anterior do CEVIU sobre o Zapocalypse (06/06/2026) mostrou que sandboxes Python podem ser comprometidos por execução direta de os.system, mas ali o ataque dependia de permissões STS órfãs e era detectável por logs de Lambda. Aqui, o canal S3 é mais sutil: não exige credenciais válidas, não gera chamadas à API IAM, e opera inteiramente dentro dos limites do acesso autorizado ao S3. Também difere da campanha TrapDoor (28/05/2026), que atacava estações locais via scripts postinstall, este é um risco de infraestrutura de execução remota, no coração do pipeline de agentes de IA em produção.
Por que isso importa
Time de plataforma que opera AgentCore em produção precisa repensar o modelo de sandboxing: se o acesso a S3 está habilitado por padrão, ele deve ser tratado como um ponto de saída de rede, não como um serviço interno inofensivo. Isso impacta diretamente práticas de observabilidade (logs de acesso S3 devem ser correlacionados com execuções de código), segurança em pipelines (validação de buckets autorizados deve ser parte do CI/CD) e custo em nuvem (requisições S3 maliciosas geram custos reais e podem saturar quotas). Ignorar esse vetor significa assumir que 'serviço AWS aprovado = seguro', o que já falhou no Zapocalypse e agora se repete com maior sofisticação.
Linha do tempo
Demonstração de persistência pós-comprometimento no AgentCore via função IAM e HTTPS
Divulgação da CVE-2026-4269, falha de verificação de propriedade de bucket no Starter Toolkit
Sonrai Security detalha exploração do S3 como canal C2 bidirecional no AgentCore
Publicação da descoberta de canal C2 via S3 em sandboxes do AgentCore, com recomendações de mitigação
Perguntas frequentes
O modo VPC resolve completamente o problema?
Sim, desde que ativado corretamente. Ele remove o acesso à internet pública e redireciona todo o tráfego S3 para um Gateway Endpoint privado. Nenhum bucket externo pode ser acessado, e URLs pré-assinadas geradas fora do VPC deixam de funcionar. Mas só funciona se o sandbox for configurado para rodar dentro da VPC, não basta ter a VPC criada.
Políticas de bucket restritivas são suficientes como mitigação?
Não. Elas reduzem o risco, mas não eliminam: um atacante ainda pode usar buckets autorizados para comunicação C2, especialmente se a política permitir PUT + GET em prefixos genéricos. A política ideal nega tudo por padrão e só permite ações específicas em paths fixos, mas isso quebra muitos fluxos legítimos de agentes.
Esse ataque afeta apenas o AgentCore da Amazon Bedrock?
Por enquanto, sim, mas o padrão é replicável. Qualquer sandbox que autorize acesso direto a serviços de nuvem com credenciais embutidas (S3, Blob Storage, GCS) e não isole redes adequadamente está sujeito a variações desse vetor. O Zapocalypse foi um aviso: sandboxes não são caixas pretas seguras por natureza.
Como identificar se meu ambiente está vulnerável?
Verifique se seus interpretadores de código AgentCore estão rodando em modo VPC. Se estiverem em modo público, revise os logs de CloudTrail para eventos PutObject e GetObject originados de funções do AgentCore Runtime, especialmente se os objetos tiverem nomes aleatórios ou contiverem payloads codificados. Também busque por uso de URLs pré-assinadas com expiry > 1 hora fora de workflows controlados.
Links relacionados
Fontes
- sonraisecurity.comfonte original
- Categoria
- CEVIU DevOps
- Publicado
- 01 de junho de 2026
- Editoria
- CEVIU DevOps
