Araştırmacılar Amazon EC’lerinde ECSCape Kusurunu Ortaya Çıkardı ve Görevler Arası Kimlik Hırsızlığı Sağlayan


06 Ağu 2025Ravie LakshmananDevOps / Konteyner Güvenliği

Siber güvenlik araştırmacıları, Amazon Elastik Konteyner Servisi’nde (EC’ler) bir saldırgan tarafından yanal hareket yapmak, duyarlı verilere erişmek ve bulut ortamının kontrolünü ele geçirmek için bir “uçtan uca ayrıcalık yükseltme zinciri” gösterdiler.

Saldırı tekniği, bugün bulguları Las Vegas’ta düzenlenen Black Hat USA Güvenlik Konferansı’nda sunan Sweet Security Araştırmacı Naor Haziz tarafından ECSCAPE olarak adlandırıldı.

Hacker News ile paylaşılan bir raporda, “Aynı EC2 örneğindeki diğer ECS görevlerine ait AWS kimlik bilgilerini almak için belgesiz bir ECS dahili protokolünü kötüye kullanmanın bir yolunu belirledik.” Dedi. “Düşük uygulamalı bir IAM ile kötü niyetli bir kap [Identity and Access Management] Rol, aynı ana bilgisayarda çalışan daha yüksek ayrıcalıklı bir kabın izinlerini alabilir. “

Amazon ECS, bulutta kaplama iş yüklerini çalıştırmak için Amazon Web Hizmetleri (AWS) ile entegre ederken, kullanıcıların kapsayıcı uygulamaları dağıtmasına, yönetmesine ve ölçeklendirmesine olanak tanıyan tam olarak yönetilen bir konteyner orkestrasyon hizmetidir.

Tatlı güvenlik ile tanımlanan güvenlik açığı, esasen, bir ECS örneğinde çalışan düşük ayrıcalıklı bir görevin, kimlik bilgilerini çalarak aynı EC2 makinesinde daha yüksek privilged bir kaptan kaçmasına izin vererek ayrıcalık artışına izin verir.

Başka bir deyişle, bir ECS kümesindeki kötü amaçlı bir uygulama, daha ayrıcalıklı bir görevin rolünü üstlenebilir. Bu, 169.254.170’de çalışan bir meta veri hizmetinden yararlanarak kolaylaştırılmıştır.[.]2 Bu, görevin IAM rolüyle ilişkili geçici kimlik bilgilerini ortaya çıkarır.

Siber güvenlik

Bu yaklaşım, her görevin IAM rolü için kimlik bilgileri almasını ve çalışma zamanında teslim edilmesini sağlasa da, ECS temsilcisinin kimliğinin bir sızıntısı, bir saldırganın acenteyi taklit etmesine ve ev sahibindeki herhangi bir görev için kimlik bilgileri almasına izin verebilir. Tüm sekans aşağıdaki gibidir –

  • Ajanın taklit edilmesi için ana bilgisayarın IAM rolü bilgilerini (EC2 örneği rolü) alın
  • Ajanın konuştuğu ECS kontrol düzlemi uç noktasını keşfedin
  • Görev meta veri uç noktasını kullanarak ajan olarak kimlik doğrulaması yapmak için gerekli tanımlayıcıları (küme adı/ARN, konteyner örneği ARN, Aracı Sürüm Bilgileri, Docker sürümü, ACS protokolü sürümü ve dizi numarası) toplayın
  • Aracı İletişim Hizmeti (ACS) WebSocket isteğini, “True” olarak ayarlanmış sendCredtials parametresi ile taklit eden isteğini dövün ve imzalayın.
  • Bu örnekteki tüm çalışan görevler için hasat kimlik bilgileri

Haziz, “Dövme ajan kanalı da gizli kalıyor.” Dedi. “Kötü niyetli oturumumuz, acentenin beklenen davranışını taklit ediyor – mesajları kabul etmek, dizi numaralarını artırmak, kalp atışlarını göndermek – bu yüzden hiçbir şey yanlış görünmüyor.”

“Temsilcinin yukarı akış bağlantısını taklit ederek ECSCape, güven modelini tamamen çökertiyor: tehlikeye atılan bir konteyner, diğer her görevin IAM rolü bilgilerini aynı EC2 örneğinde pasif olarak toplayabilir ve hemen bu ayrıcalıklarla hareket edebilir.”

ECSCAPE, paylaşılan EC2 ana bilgisayarlarında ECS görevlerini çalıştırırken ciddi sonuçlara sahip olabilir, çünkü çapraz görev artışı, sırlara maruz kalma ve meta veri eksfiltrasyonu için kapıyı açar.

Sorumlu açıklamayı takiben Amazon, müşterilerin uygulanabilir olduğu yerlerde daha güçlü izolasyon modellerini benimsemeleri ve EC2’de görev izolasyonu olmadığını ve “kapsayıcıların aynı konteyner örneğindeki diğer görevler için potansiyel olarak erişebileceğini” açıkça ortaya koymuştur.

Azaltma olarak, aynı örnekte güvenilmeyen veya düşük ayrıcalıklı görevlerin yanında yüksek ayrıcalık görevlerini dağıtmaktan kaçınmanız, AWS fargate’i gerçek izolasyon için kullanmanız, ECS Meta Veri Hizmeti (IMDS) erişimini, ECS ajan izinlerini sınırlamak ve Bulut-Trail alıcılarını tespit etmek ve Bulut-Trail alıctılarını kullanmasını sağlamak ve kısıtlamak önerilmektedir.

Haziz, “Çekirdek ders, her bir kabı potansiyel olarak uzatılabilir ve patlama yarıçapını titizlikle kısıtlamanız olarak ele almanızdır.” Dedi. “AWS’nin uygun soyutlamaları (görev rolleri, meta veri hizmeti vb.) Geliştiriciler için hayatı kolaylaştırır, ancak farklı ayrıcalık seviyelerine sahip birden fazla görev, altta yatan bir ana bilgisayar paylaştığında, güvenlikleri sadece onları izole eden mekanizmalar kadar güçlüdür – ince zayıflıklara sahip mekanizmalar.”

Kimlik Güvenliği Risk Değerlendirmesi

Geliştirme, son haftalarda bildirilen bulutla ilgili birkaç güvenlik zayıf yönünün ardından geliyor –

  • Google Cloud Build’ın GitHub entegrasyonunda, bir saldırganın bakıcı tarafından bakımı incelemesine ve bakıcı tarafından “/gcbrun” komutu verildikten sonra gözden geçirilmemiş kodu oluşturmasına izin verebilecek bir yarış koşulu
  • Oracle Cloud Altyapı (OCI) kod düzenleyicisinde, bir saldırganın bir kurbanın bulut kabuğu ortamını ele geçirmek için kullanabileceği ve bir kurbanı kandırarak, bir sunucuda barındırılan kötü niyetli bir HTML sayfasını bir sürücü saldırısı ile ziyaret etmek için potansiyel olarak OCI hizmetlerine döndürmek için kullanabileceği bir uzaktan kod yürütme kırılganlığı
  • Federasyonlu Kimlik Doğrulama yoluyla kalıcılık ve ayrıcalık artışı için entra kimliğinde bir Microsoft Birinci Partisi Uygulamasının Hizmet Müdürü’nü (SP) sömüren I SPY adlı bir saldırı tekniği
  • AML depolama hesabında depolanan Invoker komut dosyalarını değiştirmek için yalnızca depolama hesabı hesabına sahip bir saldırganın, AML boru hattında bir AML boru hattı içinde isteğe bağlı kodu yürütmesini sağlayan Azure Hesabı erişimine sahip bir saldırganın, AML anahtar tonozlarından gelen sırlar çıkarmasını, bulut kaynaklarına daha geniş erişim kazanmalarını ve bulut kaynaklarına daha geniş erişim kazanmalarını sağlayan bir ayrıcalık artışı kırılganlığı
  • Legacy AmazonguardDutyfullaccess AWS’de, keyfi delege edilmiş bir yönetici kaydederek tehlikeye atılan bir üye hesabından tam bir organizasyonel devralma sağlayabilecek bir kapsam güvenlik açığı yönetildi.
  • Azure bağlı makine kaynak yöneticisi rolünden yararlanarak Azure Arc’ı ayrıcalık artışı için kötüye kullanan bir saldırı tekniği ve komut ve kontrol (C2) olarak kurarak bir kalıcılık mekanizması olarak
  • Aşırı ayrı Azure yerleşik okuyucu rolleri ve Azure API’sında, VPN anahtarlarını sızdırmak için bir saldırgan tarafından zincirlenebilen ve daha sonra hem dahili bulut varlıklarına hem de şirket içi ağlara erişmek için anahtarı kullanabilen bir güvenlik açığı vakası
  • Google Gerrit’te Gerriscary adlı bir tedarik zinciri, yetkisiz kod gönderimlerini kromyumlar (CVE-2025-1568, CVSS Puanı: 8.8), krom, dart ve Çarel, teminat, oy kullanma sisteminde, “eklenti, oy kullanma, bir yarış ve pazarda,” ilave etleme kümelemesinde kullanarak, “ilave etleme sisteminde bir şekilde yararlanarak güvenliği uzlaştırır. Kod Birleştirme işlemi sırasında kodlama zamanlamaları
  • İnternet değişim noktalarında (IXPS) üye değişimleri için kullanılan alt ağları ortaya çıkaran bir Google Cloud platformu yanlış yapılandırması, böylece saldırganların Google’ın bulut altyapısını iç IXP LAN’lara yetkisiz erişim elde etmelerini potansiyel olarak kötüye kullanmalarına izin veriyor.
  • AWS lambda ve Azure fonksiyonlarını kullanarak AWS ve Azure gibi diğer bulut platformlarına adapte edilebilen ConfusedFonction adlı bir Google Bulut Ayrıcalığı Artış Güvenlik Açığı’nın bir uzantısı, ortam numaralandırmasını gerçekleştirmeye ek olarak,

“Çevrenizi benzer tehdit aktör davranışından korumak için en etkili azaltma stratejisi [Service Account] Bulut ortamınız içinde en az ayrıcalık ilkesine bağlı kalır ve hiçbir eski bulut SAS’ın hala kullanılmadığı, “dedi Talos.” Tüm bulut hizmetlerinin ve bağımlılıklarının en son güvenlik yamalarıyla güncel olduğundan emin olun. Eski SA’lar varsa, bunları en az müstehcen SAS ile değiştirin. “



Source link