AWS AgentCore沙箱逃逸：DNS隧道突破网络隔离，默认元数据服务缺乏令牌验证

🔓 Critical 漏洞利用

Palo Alto Unit42研究人员发现AWS AgentCore的Code Interpreter沙箱模式存在网络隔离绕过漏洞，攻击者可通过DNS隧道实现数据外泄。此外，AgentCore Runtime的微VM元数据服务（MMDS）缺乏会话令牌强制，允许SSRF攻击直接窃取敏感凭证，威胁整个AWS环境。

来源：Palo Alto Unit42 | 2026-04-07 | 原文链接

🔍 关键发现

• AgentCore沙箱模式并未真正实现“无外部网络访问”，存在DNS隧道外泄通道
• 微VM元数据服务（MMDS）默认接受HTTP GET请求，不要求会话令牌，类似IMDSv1风险
• AgentCore Runtime环境中的SSRF漏洞可被利用直接提取凭证，导致环境横向移动和数据窃取

⚔️ 攻击链分析

1. 攻击者利用Code Interpreter沙箱内代码执行能力，通过DNS隧道建立隐蔽双向通信通道；2. 利用MMDS缺乏令牌验证，通过SSRF攻击提取元数据中的敏感凭证；3. 利用获取的凭证横向移动至其他AgentCore代理或AWS服务，窃取数据

🚩 失陷指标 (IOC)

• DNS查询异常（如高频、长域名、非标准TLD）
• 来自AgentCore微VM的异常元数据服务请求（HTTP GET至169.254.169.254）

🛡️ 缓解建议

• ✅ 启用AWS提供的平台级控制措施，如VPC端点策略、网络ACL和安全组限制
• ✅ 使用Cortex AI-SPM和Cortex Cloud Identity Security持续监控异常DNS活动和元数据访问
• ✅ 定期审计AgentCore Runtime的SSRF防护配置，确保无未授权的元数据服务访问

涉及漏洞：[]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。