Amazon Bedrock AgentCore’da DNS Tabanlı Ağ İzolasyon Açığı
Amazon Bedrock AgentCore Code Interpreter’ın sandbox modunda, saldırganların DNS sorguları üzerinden etkileşimli ters kabuk açmasına ve ağ izolasyonunu aşmasına olanak tanıyan bir zafiyet keşfedildi. Bu sorun, CVE numarası verilmemiş olmakla birlikte 7.5 CVSS puanına sahip. Hizmet, AI ajanlarının izole ortamda kod çalıştırmasını sağlarken, beklenen ağ izolasyonunu DNS çıkış sorgularına izin vererek zayıflatıyor.
Bu durum, saldırganların DNS üzerinden komut ve kontrol (C2) kanalları kurmasına, IAM rolü aracılığıyla AWS kaynaklarından hassas veri sızdırmasına ve DNS A kayıtlarında saklanan komutları yürütmesine imkan tanıyor. Ancak, bu istismar için aşırı ayrıcalıklı IAM rol ataması gerekliliği bulunuyor. Amazon, Eylül 2025’te bu durumu hata değil, tasarlanmış bir özellik olarak değerlendirerek müşterilere sandbox mod yerine VPC modunu kullanmalarını ve DNS güvenlik duvarı ile çıkış DNS trafiğini filtrelemelerini önerdi.
LangSmith’de Yüksek Riskli Hesap Ele Geçirme Açığı
Miggo Security tarafından ortaya çıkarılan CVE-2026-25750 (CVSS 8.5) kodlu zafiyet, LangSmith platformunda baseUrl parametresinde doğrulama eksikliğine bağlı URL enjeksiyonu açığıdır. Bu açıklık, sosyal mühendislik saldırılarıyla oturum açmış kullanıcıların bearer token, kullanıcı ve çalışma alanı kimliklerinin saldırgan kontrolündeki sunucuya gönderilmesine yol açabiliyor. Başarılı sömürü, AI iz geçmişine yetkisiz erişim ve dahili SQL sorguları, CRM kayıtları gibi hassas verilerin açığa çıkmasına neden olabilir.
SGLang’de Güvensiz Pickle Deserializasyonu ile Uzaktan Kod Çalıştırma
SGLang platformunda Orca güvenlik araştırmacısı tarafından tespit edilen üç kritik güvenlik açığı, kimlik doğrulamasız uzaktan kod çalıştırmaya imkan veriyor. CVE-2026-3059 ve CVE-2026-3060, ZeroMQ aracısı üzerinden doğrulanmamış pickle deserializasyonu ile multimodal üretim ve encoder paralel ayrıştırma modüllerini etkilerken, CVE-2026-3989 ise replay_request_dump.py dosyasında güvensiz pickle.load() kullanımını içeriyor. Bu açıklar henüz yamalanmadı ve kötü amaçlı pickle dosyaları ile sömürülebilir.
Saldırı Zinciri ve Teknik Detaylar
- Amazon Bedrock: DNS tabanlı C2 kanalı, ters kabuk, IAM rolü üzerinden veri sızıntısı.
- LangSmith: URL parametre enjeksiyonu, sosyal mühendislik, token hırsızlığı, hesap ele geçirme.
- SGLang: ZeroMQ üzerinden doğrulanmamış pickle deserializasyonu, kimlik doğrulamasız RCE.
Siber Güvenlik Ekipleri İçin Öneriler
- Amazon Bedrock AgentCore örneklerini envanterleyin ve kritik iş yüklerini sandbox modundan VPC moduna taşıyın.
- DNS güvenlik duvarları ve ağ segmentasyonu ile çıkış DNS trafiğini sıkı kontrol altına alın.
- LangSmith kullanıcıları için baseUrl parametresi doğrulamasını zorunlu kılın ve sosyal mühendislik saldırılarına karşı farkındalık eğitimleri düzenleyin.
- SGLang dağıtımlarında ZeroMQ portlarına erişimi kısıtlayın ve ağ erişim kontrollerini güçlendirin.
- IAM rollerini en az ayrıcalık prensibine göre yapılandırın ve düzenli denetim yapın.
- EDR ve SIEM sistemlerinde DNS sorguları, beklenmeyen TCP bağlantıları ve anormal alt süreç aktiviteleri için uyarılar oluşturun.
- Yama yönetimini hızlandırarak ilgili CVE’ler için güncellemeleri uygulayın.
Kurumsal Senaryo: Bulut Tabanlı AI Hizmetlerinde Riskler
Bir SaaS sağlayıcısı, Amazon Bedrock AgentCore üzerinde çalışan AI ajanları ile müşteri verilerini işliyor. Eğer sandbox modunda DNS çıkışları filtrelenmezse, saldırganlar DNS tabanlı C2 kanalı kurarak IAM rolü ile erişilen AWS kaynaklarından veri sızdırabilir. Aynı zamanda LangSmith platformunda baseUrl parametresi doğrulanmadığında, saldırganlar kullanıcı tokenlarını ele geçirerek müşteri verilerine erişebilir. SGLang multimodal modüllerinde ise ZeroMQ portlarına yetkisiz erişim, uzaktan kod çalıştırma saldırılarına kapı açar. Bu senaryoda, ağ segmentasyonu, IAM rol yönetimi, DNS güvenlik duvarları ve düzenli güvenlik taramaları kritik savunma katmanlarıdır.