Güvenlik araştırmacıları, Amazon Elastik Konteyner Servisi’nde (ECS), kötü niyetli kapların aynı EC2 örneğinde çalışan diğer görevlerden AWS kimlik bilgilerini çalmasına izin veren kritik bir güvenlik açığı açıklamıştır.
“Ecscape” olarak adlandırılan saldırı, ECS ajanını taklit etmek ve konteyner kırılmasına gerek kalmadan ayrıcalıklı kimlik bilgilerini hasat etmek için belgesiz bir dahili protokolden yararlanmaktadır.
Güvenlik Açığı Genel Bakış
ECSCape saldırısı, EC’lerin paylaşılan EC2 örneklerinde IAM kimlik bilgilerini nasıl yönettiği konusunda temel bir tasarım kusuru oluşturur.
Aynı ana bilgisayarda farklı ayrıcalık seviyelerine sahip birden fazla kap çalıştığında, güvenliği ihlal edilmiş düşük ayrıcalıklı bir konteyner, ECS Agent iletişim hizmeti (ACS) protokolü aracılığıyla daha yüksek ayrıcalıklı görevlere ait kimlik bilgilerini alabilir.
Güvenlik açığı, EBPF tabanlı bir izleme aracının geliştirilmesi sırasında güvenlik araştırmacısı Naor Haziz tarafından keşfedildi.
ECS görevlerinin meta verileri nasıl almasını araştırırken, Haziz, ECS aracının AWS’nin kontrol düzlemine bir WebSocket bağlantısı aracılığıyla şüpheli bir “sendCredentials = true” parametresi ile görev kimlik bilgilerini aldığını gözlemledi.
Saldırı nasıl çalışır
ECScape, konteyner kaçışı gerektirmeyen ancak örnek meta veri hizmetine (IMDS) erişmesi gereken çok aşamalı bir işlemle çalışır.
İlk olarak, saldırgan IMDS sorguları aracılığıyla EC2 örneğinin IAM rolü bilgilerini çalar. Daha sonra, ECS kontrol düzlemi uç noktasını keşfederler ve küme arn ve konteyner örneği arn gibi gerekli tanımlayıcıları toplarlar.
Saldırgan daha sonra, kimlik doğrulama için çalıntı örnek kimlik bilgilerini kullanarak ECS aracını taklit etmek için sahte bir WebSocket bağlantısı kurar.
Bağlandıktan sonra, kötü amaçlı oturum, hem görev rolleri hem de genellikle AWS Sırları Yöneticisi gibi hassas kaynaklara erişimi olan yürütme rolleri de dahil olmak üzere, ana bilgisayarda çalışan tüm görevler için IAM kimlik bilgisi yükleri alır.
Güvenlik açığı, çok kiracılı ECS ortamları için ciddi riskler oluşturmaktadır. Salt okunur izinlere sahip uzlaşmış bir tarama kabı, tam veritabanı erişimine sahip bir veritabanı yedekleme kapsayıcısından kimlik bilgilerini çalabilir ve izolasyon sınırlarını tamamen zayıflatabilir.
Daha da önemlisi, uygulama rolü kimlik bilgileri – uygulama kapsayıcılarına erişilemez – aynı zamanda özel konteyner kayıtlarına ve sırlara erişim sağlayarak da ortaya çıkar.
Algılama özellikle zorlayıcıdır, çünkü çalınan kimlik bilgileri meşru olanlarla aynı işlev görür.
AWS CloudTrail Logs API, API çağrılarını kurban görevinin rolüne çağırır ve ilk algılamayı beklenen görev davranış kalıplarıyla korelasyon olmadan zorlaştırır.
AWS, ECS kullanıcıları için çeşitli koruyucu önlemler önerir. Birincil savunmalar, paylaşılan örneklere güvenilmeyen konteynerlerin yanında yüksek ayrıcalık görevlerinin konuşlandırılmasından kaçınmak, kritik hizmetler için özel ana bilgisayarlar uygulamak veya her görevin izole edilmiş bir mikro-VM’de çalıştığı AWS Fargate’e taşınmayı içerir.
Ek korumalar, ECS_AWSVPC_BLOCK_IMDS ayarı aracılığıyla IMD’lerin erişimini kısıtlamayı, IMDSV2’yi zorlamayı ve en az ayrı IAM politikalarının uygulanmasını içerir.
Kuruluşlar ayrıca, kontrat sonrası faaliyetleri sınırlamak için gereksiz Linux yeteneklerini düşürmelidir.
Açıklama, konteyner düzenleme platformlarındaki temel güvenlik hususlarını vurgulamaktadır ve bulut ortamlarında izolasyon sınırlarının anlaşılmasının önemini vurgulamaktadır.
AWS, temel mimariyi değiştirme planlarını göstermese de, araştırma Fargate’in mikro-VM izolasyonunun neden hassas iş yükleri için daha güçlü güvenlik garantileri sağladığını vurgulamaktadır.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir