A edição #253 do AWS Security Digest traz um tema central: testar os testadores. A evolução de ferramentas de monitoramento de políticas gerenciadas, a descoberta de que sandboxes de IA podem não ser tão isoladas quanto prometido, e a análise de um agente de pentest da própria AWS revelam um cenário onde a segurança precisa ser validada em múltiplas camadas, inclusive nas ferramentas e serviços projetados para protegê-la.
IAMTrail: Monitoramento de Políticas Gerenciadas Evolui
O projeto MAMIP (Monitor AWS Managed IAM Policies), que rastreia mudanças silenciosas nas políticas gerenciadas da AWS desde 2019, foi rebatizado como IAMTrail e recebeu uma grande atualização. A nova versão oferece uma interface própria, visualizações, diffs e notificações por e-mail. Com mais de 1.500 políticas ativas rastreadas e 4.473 commits de histórico, a ferramenta revela dados como as 178 versões já acumuladas pela política ReadOnlyAccess. Essa evolução é crucial para a governança, pois mudanças automáticas em políticas gerenciadas podem alterar permissões em ambientes sem aviso prévio.
Sandbox de IA com Vazamento de DNS no Bedrock AgentCore
Uma pesquisa de Kinnaird McQuade expôs uma falha crítica no modo “Sandbox” do Code Interpreter do AWS Bedrock AgentCore. Prometendo isolamento de rede completo, o sandbox permite a resolução de consultas DNS. Explorando essa brecha, McQuade construiu um protocolo completo de Comando e Controle (C2) via DNS. O ataque envia comandos codificados em octetos de IP nas respostas de registro A do DNS, enquanto o ambiente comprometido exfiltrar dados via subdomínios em consultas DNS de saída, resultando em um reverse shell interativo. A AWS reconheceu o problema, optou por não corrigi-lo e atualizou a documentação para declarar que o “modo sandbox permite resolução DNS”. A lição é clara: se a função IAM do Code Interpreter tiver acesso a serviços como S3, um atacante com um CSV malicioso e um servidor DNS pode explorá-lo.
Pentestando o Agente de Pentest da AWS
Richard Fan realizou um teste de penetração no AWS Security Agent, a ferramenta de pentest automatizado da própria AWS. A descoberta mais alarmante foi uma cadeia de exploração em múltiplos estágios: injeção em mensagens de debug, bypass de guardrails ao encapsular requisições maliciosas em narrativas emocionais, escalonamento de privilégio, escape de container e, finalmente, captura de credenciais de instância diretamente do IMDS. A AWS classificou o achado dentro de seu “modelo de ameaça documentado”. O agente também executou comandos DROP TABLE durante testes de SQL injection e despejou credenciais descobertas em relatórios sem ofuscação. À medida que agentes de IA ganham mais autonomia, entender e testar seus limites é essencial.
Ataque à Cadeia de Suprimentos: do npm à Admin AWS em 72h
O grupo de ameaças UNC6426 comprometeu o pacote npm `nx` com um script postinstall malicioso que coletava tokens GitHub de máquinas de desenvolvedores. Esses tokens foram usados para abusar de uma relação de confiança OIDC excessivamente permissiva entre GitHub Actions e AWS, criando uma nova função IAM de administrador na conta da vítima. Uma vez dentro, utilizaram a ferramenta de código aberto Nord Stream para extrair segredos de pipelines de CI/CD. O ambiente foi completamente comprometido em 72 horas, com exfiltração de buckets S3 e terminação de instâncias de produção. O caso é um alerta sobre a terceirização da segurança para plataformas externas via OIDC sem os devidos controles de confiança.
Vulnerabilidades e Mudanças Críticas
A newsletter também destaca uma série de vulnerabilidades e atualizações relevantes para a segurança na AWS:
- CVE-2026-4428 (AWS-LC): Erro lógico na validação de CRL que permite ignorar certificados revogados.
- Múltiplas CVEs no Kernel Linux (Amazon Linux): Incluem falhas em XFS, NTFS3, io_uring, AppArmor e perf, com impactos que vão de DoS a divulgação de informação e escalação de privilégio.
- Atualização de Documentação do IAM: Agora recomenda explicitamente o uso de credenciais temporárias em detrimento de credenciais específicas de serviço para novos desenvolvimentos.
- Política do GuardDuty: Uma política excessivamente permissiva foi depreciada, com uma substituição mais restrita.
- KMS: A condição `kms:RequestAlias` em políticas Deny pode ser contornada; a recomendação é usar `kms:ResourceAliases`.
O cenário apresentado reforça a necessidade de uma postura de segurança proativa e cética. Sandboxes de IA, agentes automatizados, cadeias de suprimentos de software e até as próprias políticas de segurança da AWS devem ser continuamente avaliadas e testadas. A visibilidade completa, o princípio do menor privilégio e a validação independente de controles permanecem como pilares fundamentais em um ambiente cada vez mais automatizado e complexo.
Análise baseada no AWS Security Digest #253 (23/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário