São Paulo — InkDesign News — Um ataque de escalonamento de privilégios na Amazon Elastic Container Service (ECS) pode permitir que um invasor roube credenciais e acesse outros recursos em nuvem que operam na mesma instância do EC2, segundo a pesquisa apresentada por Naor Haziz, desenvolvedor sênior da Sweet Security, na Black Hat USA.
Vetor de ataque
Durante a apresentação, Haziz explicou a técnica de ataque chamada “ECScape”, que explora um protocolo interno não documentado no ECS. Esse método permite que atacantes obtenham credenciais de tarefas que não deveriam ser acessíveis. A técnica permite a movimentação lateral entre contêineres, partindo de um contêiner comprometido com funções de baixo privilégio para um contêiner de alto privilégio na mesma máquina.
Impacto e resposta
Haziz identificou que o controle de tarefas do ECS envia credenciais de tarefa para o agente do ECS através de um canal WebSocket, que ele pôde monitorar. Este canal é parte do Serviço de Comunicação do Agente (ACS). No entanto, enquanto Haziz considera essa falha uma vulnerabilidade crítica, a AWS não a classifica como uma preocupação de segurança. A AWS atualizou sua documentação e publicou um post de melhores práticas, mas não foi atribuído um CVE e nenhuma atualização foi lançada.
“Através do ECScape, podemos roubar as credenciais destinadas ao ECS em si”
(“We can use this ECScape to hijack the credentials meant for ECS itself.”)— Naor Haziz, Desenvolvedor Sênior, Sweet Security
Análise e recomendações
Para mitigar os riscos associados ao ECScape, Haziz recomenda que os clientes desativem o Serviço de Metadados da Instância (IMDS) ou ao menos limitem o acesso a tarefas. Ele enfatizou a importância de excluir permissões excessivas do agente do ECS e sugere evitar a co-localização de tarefas sensíveis em instâncias EC2 junto a tarefas de baixo privilégio. Usar o AWS Fargate, que oferece melhor isolamento, é uma alternativa recomendada.
Com essa vulnerabilidade, Haziz alerta que muitos usuários assumem erroneamente que um contêiner comprometido é isolado dos demais na mesma máquina, o que o ECScape refuta. Assim, a responsabilidade de proteger as instâncias do ECS recai sobre os clientes diante da complexidade das configurações de IAM.
À medida que mais pesquisas são publicadas sobre esse tema, espera-se que a AWS reavalie suas práticas de segurança para evitar que tais vetores de ataque sejam explorados no futuro, impactando diretamente a segurança do setor de nuvem.
Fonte: (Dark Reading – Segurança Cibernética)
