Amazon Elastik Konteyner Servisi’nde (ECS) çalışan kötü niyetli kapların aynı EC2 örneğini paylaşan diğer kaplardan AWS kimlik bilgilerini çalmasına izin veren “ECSCape” olarak adlandırılan sofistike bir teknik.
Keşif, çok kiracılı ECS dağıtımlarındaki kritik izolasyon zayıflıklarını vurgular ve AWS Fargate’in mikro-VM mimarisinin güvenlik avantajlarının altını çizer.
Güvenlik araştırmacısı Naor Haziz tarafından geliştirilen teknik, konteyner sınırları arasında IAM kimlik bilgilerini yaymak için ECS ajanları ve AWS kontrol düzlemi arasındaki belgesiz bir dahili protokolden yararlanmaktadır.
Ana bilgisayar düzeyinde erişim gerektiren geleneksel konteyner kaçış yöntemlerinin aksine, ECScape, ECS aracısını taklit etmek için ağ manipülasyonundan yararlanırken tamamen konteynerin ad alanında çalışır.
Saldırı, tehlikeye atılan bir konteyner, EC2 örneğinin IAM rol kimlik bilgilerini elde etmek için 169.254.169.254 numaralı telefondan örnek meta veri hizmetine (IMDS) eriştiğinde başlar. Tipik olarak ECS temsilcisi tarafından meşru operasyonlar için kullanılan bu kimlik bilgileri, sonraki kimliğe bürünme saldırısının temeli haline gelir.
Çalıntı örnek kimlik bilgilerini kullanarak, saldırganlar ECS kontrol uçağının yoklama uç noktasını keşfedebilir. ecs:DiscoverPollEndpoint API ve küme ARN’leri ve konteyner örneği ARN’ler de dahil olmak üzere temel tanımlayıcılar toplayın.
Kötü niyetli işlem daha sonra AWS’nin Aracı İletişim Hizmeti’ne (ACS), ECS’nin aracılara görev kimlik bilgileri sunduğu dahili kanal için sahte bir WebSocket bağlantısı oluşturur.
ECSCape Saldırısı ECS Protokolünü Kötüye Kullanıyor
Parametreyi dahil ederek sendCredentials=true WebSocket el sıkışmasında, saldırganlar paylaşılan EC2 örneğinde çalışan her görev için tüm IAM kimlik bilgilerini alabilirler.
Bu, hem AWS Sırları Yöneticisi, ECR depoları ve bulutwatch günlüklerine erişmek için hassas izinler içeren hem uygulama rolü kimlik bilgileri hem de görev yürütme rolü bilgilerini içerir.
ECScape, çalınan kimlik bilgileri meşru olanlarla aynı işlev gördükçe, özellikle gizli özelliklerle ilgili olarak göstermektedir. AWS CloudTrail Logs API, API çağrılarını saldıran kaptan ziyade kurban görevinin rolüne çağırarak ilk algılamayı son derece zorlaştırır.
Teknik, ECS ortamlarında konteyner izolasyonu ile ilgili temel varsayımları bozar ve düşük ayrıcalıklı görevlerin aynı ana bilgisayarda yüksek ayrıcalıklı kapların izinlerini üstlenmesine izin verir.
Gösteri ortamlarında, araştırmacılar, tüm IAM politikalarına sahip bir kapsayıcının S3 tam erişimli komşu bir görevden çalıntı kimlik bilgilerini kullanarak S3 kovalarını nasıl başarılı bir şekilde silebileceğini gösterdi.
Saldırı ayrıca, diğer kaplar için tasarlanan hassas sırların çıkarılmasını sağladı ve çok kiracılı güvenlik modelini etkili bir şekilde tehlikeye attı.
AWS, bulguları koordineli açıklama programları aracılığıyla gözden geçirdi, ancak davranışı bir güvenlik açığı yerine bir tasarım değerlendirmesi olarak sınıflandırdı. Şirket, kullanıcılar uygun izolasyon önlemleri uygulamadığı sürece EC2 örneklerini paylaşan kapların aynı güven alanının dolaylı olarak bir parçası olduğunu vurguladı.
Açıklamanın ardından AWS, “aynı EC2 örneğinde çalışan görevlerin, bu örnekteki diğer görevlere ait kimlik bilgilerine potansiyel olarak erişebileceği” konusunda açıkça uyardı. Şirket, daha güçlü izolasyon garantileri gerektiren senaryolar için AWS Fargate’i şiddetle tavsiye ediyor.
Güvenlik uzmanları, birkaç azaltma stratejisi önerir: IMDS’nin konteynırlara erişimin devre dışı bırakılması veya kısıtlanması, ağ kontrolleri veya ECS_AWSVPC_BLOCK_IMDS Paylaşılan örneklerde yüksek ayrıcalık ve düşük ayrıcalık görevlerinin birlikte konumundan kaçınmak, tüm görev rolleri için en az ayrıcalıklı IAM politikalarının uygulanması ve olağandışı kimlik bilgisi kullanım kalıplarını tespit etmek için kapsamlı buluttrail izlemesini dağıtmak.
EC2’de EC’leri çalıştıran kuruluşlar, her bir örneğe potansiyel bir arıza alanı olarak ele almalı ve hassas iş yüklerini Fargate’in gelişmiş güvenlik sınırları için izole edilmiş mikro-VM mimarisine taşımayı düşünmelidir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın