Vulnerabilidades en Amazon Bedrock, LangSmith y SGLang Amenazan la Seguridad de Datos
Publicado el
Fallos en Amazon Bedrock
Investigadores de ciberseguridad han revelado vulnerabilidades en Amazon Bedrock, LangSmith y SGLang, que podrían permitir la exfiltración de datos y la ejecución remota de código (RCE). En un informe de BeyondTrust, se detalla cómo el modo sandbox del Amazon Bedrock AgentCore Code Interpreter permite consultas DNS salientes, lo que un atacante puede aprovechar para eludir los controles de aislamiento de red. Este problema, que no cuenta con un identificador CVE, tiene una puntuación CVSS de 7.5 sobre 10.0.
El Amazon Bedrock AgentCore Code Interpreter es un servicio completamente gestionado que permite a los agentes de IA ejecutar código de forma segura en entornos aislados. Lanzado en agosto de 2025, su configuración de "sin acceso a la red" permite, en ciertas circunstancias, que actores maliciosos establezcan canales de comando y control y exfiltren datos a través de DNS. Según Kinnaird McQuade, arquitecto de seguridad de BeyondTrust, esta situación crea una oportunidad para que se establezcan comunicaciones bidireccionales mediante consultas y respuestas DNS, lo que puede culminar en la obtención de un shell inverso interactivo.
Además, el mecanismo de comunicación por DNS puede ser utilizado para entregar cargas útiles adicionales al Code Interpreter, permitiéndole consultar servidores de comandos y ejecutar instrucciones almacenadas en registros DNS. Aunque el Code Interpreter requiere un rol IAM para acceder a recursos de AWS, un descuido puede resultar en la asignación de un rol con privilegios excesivos, otorgando acceso a datos sensibles.
BeyondTrust ha destacado que esta investigación pone de manifiesto cómo la resolución DNS puede comprometer las garantías de aislamiento de red de los intérpretes de código en sandbox. Los atacantes podrían exfiltrar datos sensibles de recursos de AWS accesibles a través del rol IAM del Code Interpreter, lo que podría provocar interrupciones, brechas de datos o la eliminación de infraestructura crítica.
Tras la divulgación responsable de esta vulnerabilidad en septiembre de 2025, Amazon ha considerado que se trata de una funcionalidad intencionada y no de un defecto, recomendando a los clientes utilizar el modo VPC para un aislamiento completo de la red y la implementación de un firewall DNS para filtrar el tráfico DNS saliente.
Vulnerabilidad en LangSmith
Por otra parte, Miggo Security ha informado sobre una grave vulnerabilidad en LangSmith (CVE-2026-25750, CVSS 8.5) que podría permitir el robo de tokens y la toma de cuentas. Este fallo afecta tanto a las implementaciones autohospedadas como a las basadas en la nube, y ha sido corregido en la versión 0.12.71 lanzada en diciembre de 2025. La vulnerabilidad se origina en una inyección de parámetros URL debido a la falta de validación en el parámetro baseUrl, lo que permite que un atacante robe el token de acceso de un usuario autenticado y otros datos sensibles.
La explotación exitosa de esta vulnerabilidad podría permitir el acceso no autorizado al historial de trazas de IA y exponer consultas SQL internas, registros de clientes de CRM o código fuente propietario, simplemente haciendo que un usuario de LangSmith acceda a un sitio controlado por un atacante o haga clic en un enlace malicioso.
Problemas de Deserialización en SGLang
También se han identificado vulnerabilidades en SGLang, un marco de código abierto popular. Aunque los detalles específicos de estas fallas no se han revelado completamente en esta instancia, se advierte que estas deficiencias de seguridad requieren atención inmediata. La comunidad de ciberseguridad debe ser proactiva en la mitigación de estos riesgos para proteger los entornos de desarrollo y asegurar que las herramientas de IA se mantengan seguras.
En resumen, la identificación de estas vulnerabilidades subraya la importancia de aplicar medidas de seguridad robustas en los entornos de IA y de mantener actualizadas las defensas contra posibles ataques.