Summary
1. Overprivileged containers can steal AWS credentials by targeting the 169.254.170.23:80 endpoint through packet sniffing and API spoofing attacks.
2. Attackers use tcpdump to intercept plaintext traffic or manipulate network settings to deploy fake HTTP servers that capture authorization tokens.
3. Amazon considers this expected behavior under customer responsibility, not a security vulnerability requiring patches.
4. Organizations must remove excessive container capabilities like CAP_NET_RAW, CAP_NET_ADMIN, and hostNetwork settings to prevent exploitation.Amazon Elastik Kubernetes Service’deki (EKS) kritik güvenlik açıkları, aşırı ayrıcalıklı kapların paket koklama ve API sahte saldırıları yoluyla hassas AWS kimlik bilgilerini ortaya çıkarmasına izin verir.
19 Haziran 2025’te yayınlanan soruşturma, yanlış yapılandırılmış kapların bulut ortamlarında yetkisiz erişim ve ayrıcalık artışını nasıl kolaylaştırabileceğini ve AWS paylaşılan sorumluluk modelinde önemli riskleri vurgulayabileceğini gösteriyor.
Amazon Eks Pod Kimliği kimlik bilgilerini ortaya çıkarır
Güvenlik açığı, özellikle EKS kümelerinde çalışan bölmeler için AWS kimlik bilgisi yönetimini basitleştirmek için tasarlanmış bir özellik olan Amazon EKS Pod Kimliğini hedeflemektedir.
.png
)
Hizmet, Kube-System ad alanında bir DaemonSet olarak çalışan ve IPv4 için 169.254.170.23 link-yerel adreste bir API ortaya çıkaran EKS-POD-kimlik-ajanı eklentisi aracılığıyla çalışır ve [fd00:ec2::23] 80 bağlantı noktasında IPv6 için.
Temsilci, yetkilendirme başlığında Kubernetes Hizmet Hesabı tokenlerini kabul eder ve EKS-Auth: AssumeroleForPodidentity API eylemini çağırır.
Uygulamalar AWS hizmet istekleri oluşturduğunda, SDK otomatik olarak EKS POD kimlik temsilcisinden geçici kimlik bilgilerini alır ve bu da ilişkili IAM rolü için gerekli kimlik bilgilerini elde etmek için AWS API ile etkileşime girer.
Araştırmacılar, aşırı konteyner ayrıcalıklarından yararlanan iki ana saldırı vektörünü belirlediler.
Birincisi, HostNetwork ile yapılandırılmış kapların bulunduğu paket koklamasını içerir: gerçek ayarlar ağ trafiğini izleyebilir ve API uç noktasından düz metin iletilen kimlik bilgilerini 169.254.170.23:80’den kesebilir.
Standart TCPDUMP yardımcı programını kullanan bir kavram kanıtı, şifrelenmemiş HTTP trafiğinde başarılı bir şekilde kimlik bilgisi müdahalesini gösterdi.
İkinci saldırı vektörü API sahte teknikler kullanır. Cap_net_raw özelliği kaldırıldığında bile, CAP_NET_ADMIN ayrıcalıklarını koruyan kaplar ağ arayüz kartı (NIC) ayarlarını manipüle edebilir.
Saldırganlar, Yerel Bağlantı IP adresini silerek EKS-POD-Kimlik-Ajanı HTTP Daemon’u devre dışı bırakabilir, ardından Yetkilendirme Tokenlerini Kesmek İçin Kendi HTTP sunucusunu 169.254.170.23:80 numaralı telefondan dağıtabilir.
Trend Micro, bu istismarı göstermek için Pyroute2 kütüphanesini kullanarak python tabanlı bir kavram kanıtı geliştirdi.
Azaltma stratejileri
Güvenlik açıkları Trend Micro Sıfır Günü Girişim Programı aracılığıyla Amazon’a bildirildi.
Bununla birlikte, AWS, bu davranışın düğümün güven sınırı içinde beklenen işlevselliği temsil ettiğini ve ortak sorumluluk modellerinde müşteri sorumluluğu altına girdiğini belirledi.
Bu riskleri azaltmak için kuruluşlar, kapları yapılandırırken ve Trend Vision One kapsayıcı güvenliği gibi güvenlik çözümlerini kullanırken en az ayrıcalık ilkesini uygulamalıdır.
Platform, cap_net_raw, cap_net_admin özellikleri veya hostNetwork bayrakları true olarak ayarlanmış kapsüller de dahil olmak üzere yüksek ayrıcalıklarla çalışan kapları algılayabilir ve engelleyebilir.