O echipă de cercetători în securitate cibernetică a identificat o vulnerabilitate critică în Amazon Elastic Container Service (ECS), care ar putea permite unui atacator să escaladeze privilegiile şi să obţină acces la date sensibile din infrastructura cloud. Descoperirea, denumită „ECScape”, a fost prezentată recent la conferinţa Black Hat din Las Vegas, atrăgând atenţia asupra riscurilor majore în arhitecturile cloud containerizate, potrivit The Hacker News.
Amazon ECS este o platformă gestionată de orchestrare a containerelor, integrată cu serviciile AWS, utilizată pentru a rula şi scala aplicaţii în cloud. Vulnerabilitatea scoasă la iveală se bazează pe exploatarea unui protocol intern nedezvăluit anterior, care permite unui container cu acces limitat să obţină temporar credenţialele unui alt container cu privilegii mai mari, aflat pe aceeaşi instanţă EC2. Prin această metodă, un atacator poate impersona agentul ECS şi accesa endpoint-ul de control al serviciului, colectând în mod silenţios date sensibile de la alte task-uri.
Atacul implică interceptarea rolului IAM atribuit instanţei EC2, ceea ce deschide posibilitatea de a extrage credenţialele asociate celorlalte sarcini care rulează simultan pe acea instanţă. Totul se desfăşoară prin API-ul de introspecţie şi protocolul Agent Communication Service, iar traficul generat imită comportamentul legitim al agentului ECS, ceea ce face ca activitatea maliţioasă să fie foarte greu de depistat.
Practic, această breşă afectează modelul de izolare între task-uri, care ar trebui să prevină tocmai astfel de interferenţe. În realitate, un container compromis poate deveni un punct de acces pasiv la întregul set de credenţiale al altor containere, punând în pericol întregul ecosistem cloud dacă instanţa găzduieşte aplicaţii cu niveluri de acces diferite.
Amazon a reacţionat printr-o serie de recomandări şi avertismente. Compania sugerează utilizarea AWS Fargate, care oferă o izolare reală între containere, spre deosebire de rularea clasică a ECS pe instanţe EC2. Totodată, a actualizat documentaţia pentru a sublinia că, pe EC2, nu există o separare completă între task-uri în ceea ce priveşte accesul la metadate şi credenţiale.
Pentru a limita riscurile, specialiştii recomandă evitarea rulării containerelor cu privilegii diferite pe aceeaşi instanţă, limitarea accesului la serviciul de metadate IMDS, reducerea permisiunilor acordate agenţilor ECS şi configurarea alertelor în CloudTrail pentru detectarea utilizării neobişnuite a rolurilor IAM. Cercetătorii subliniază că fiecare container ar trebui tratat ca un punct potenţial de vulnerabilitate, iar impactul oricărei breşe trebuie izolat strict.
Descoperirea ECScape subliniază fragilitatea unor mecanisme de convenienţă oferite de AWS, precum serviciul de metadate sau rolurile dinamice ale task-urilor, care deşi simplifică dezvoltarea şi scalarea aplicaţiilor, pot introduce fisuri serioase în sistemele care rulează în medii cu permisiuni diferite.
Această vulnerabilitate se adaugă unei serii recente de probleme semnalate în infrastructurile cloud moderne şi întăreşte ideea că politicile stricte de securitate, segmentarea accesului şi monitorizarea constantă trebuie să devină norme obligatorii pentru companiile care operează în astfel de medii.
