Cercetătorii au descoperit o vulnerabilitate critică în Amazon ECS. Cum te păzești de ea, conform specialiștilor

Specialiștii în securitate cibernetică au identificat o vulnerabilitate gravă în serviciul Amazon Elastic Container Service (ECS), care permite unui atacator să escaladeze privilegiile și să acceseze date sensibile, punând în pericol întreaga infrastructură cloud.

Descoperirea, denumită „ECScape”, a fost prezentată recent în cadrul conferinței Black Hat din Las Vegas, scrie The Hacker News.

Cum funcționează vulnerabilitatea ECScape și riscurile asociate

Amazon ECS este o platformă complet gestionată pentru orchestrarea containerelor, integrată cu serviciile AWS, care oferă o modalitate eficientă de a rula și scala aplicații containerizate în cloud.

Vulnerabilitatea descoperită exploatează un protocol intern nedocumentat al ECS, permițând unui container cu privilegii reduse să obțină credențialele de acces (IAM) ale unui alt container cu privilegii mai ridicate care rulează pe aceeași instanță EC2.

Metoda de atac implică capturarea rolului IAM al gazdei (EC2 Instance Role) pentru a se deghiza în agentul ECS.

Astfel, atacatorul poate accesa endpoint-ul de control ECS și poate colecta credențialele temporare asociate task-urilor din aceeași mașină, folosind API-ul de introspecție și protocolul Agent Communication Service (ACS). Canalele create de atac sunt stealthy, imitând comportamentul normal al agentului ECS, ceea ce face detectarea extrem de dificilă.

Practic, breșa subminează modelul de încredere al izolării între task-uri pe aceeași instanță, deoarece un container compromis poate colecta în mod pasiv credențialele tuturor celorlalte task-uri, cu potențialul de a obține control complet asupra mediului cloud.

Impactul este, de altfel, major, în special în mediile unde multiple task-uri cu nivele diferite de acces sunt rulate pe aceeași instanță EC2.

Recomandări și măsuri de protecție împotriva atacurilor ECScape

După dezvăluirea vulnerabilității, Amazon a subliniat importanța adoptării unor modele mai stricte de izolare, recomandând utilizarea serviciului AWS Fargate, care oferă o izolare reală a containerelor, spre deosebire de ECS pe instanțe EC2.

De asemenea, compania a actualizat documentația pentru a avertiza că pe instanțele EC2 nu există o izolare completă a task-urilor și că acestea pot avea acces la credențiale ale altor task-uri.

Ca măsuri de atenuare, se recomandă:

• evitarea rulării task-urilor cu privilegii ridicate pe aceeași instanță cu cele de încredere redusă;
• limitarea accesului la serviciul de metadate al instanțelor (IMDS) pentru task-uri;
• restricționarea permisiunilor agenților ECS;
• configurarea alertelor CloudTrail pentru detectarea utilizărilor neobișnuite ale rolurilor IAM.

Cercetătorii spun că fiecare container trebuie tratat ca potențial compromis, iar raza de impact a unui atac trebuie limitată strict.

Facilitățile convenabile oferite de AWS, precum rolurile task-urilor și serviciul de metadate, simplifică dezvoltarea, dar pot introduce puncte slabe în securitate atunci când sunt folosite în medii cu mai multe nivele de privilegii.

Această descoperire face parte dintr-o serie recentă de vulnerabilități majore raportate în ecosistemele cloud, care evidențiază necesitatea unei monitorizări și politici stricte de securitate pentru toate conturile și serviciile implicate în infrastructuri moderne.