亚马逊ECS权限提升漏洞导致IAM劫持

来源：Cynthia Lee via Alamy Stock Photo

BLACK HAT USA – 拉斯维加斯 – 8月7日星期四 — 亚马逊弹性容器服务（ECS）中存在权限提升漏洞，攻击者可利用此漏洞窃取凭证并访问同一EC2实例上运行的其他云资源。

在昨日的Black Hat USA会议上，Sweet Security高级软件开发人员Naor Haziz描述了一种名为"ECScape"的攻击技术，该技术利用ECS中未记录的内部协议获取本不应访问的任务凭证。这场题为"ECS-cape – 在亚马逊ECS中劫持IAM权限"的会议详细介绍了攻击者如何利用该技术从具有低权限角色的受损容器跳转到同一主机上运行的高权限容器。

Haziz表示，他在研究ECS任务时发现了这个问题，发现亚马逊ECS控制平面通过WebSocket通道（通过代理通信服务ACS）将任务凭证发送到ECS代理，而他可以监控该通道。这一发现让他对窃取自己容器之外其他容器凭证的潜力产生了好奇。

果然，Haziz发现他不仅可以通过AWS的实例元数据服务（IMDS）获取此类凭证，还可以更进一步。通过从API端点和其他服务收集数据，他可以识别同一EC2主机上运行的其他ECS容器实例，并瞄准它们的任务凭证。

相关阅读：
攻击者滥用AWS云针对东南亚政府

使用ECScape技术，Haziz能够通过伪造和签名ACS WebSocket请求来冒充ECS代理，从而欺骗ECS控制平面发送EC2主机上实例的所有IAM任务凭证。

“我们可以使用这个ECScape来劫持本意为ECS本身的凭证，“他在演示中说道。

Haziz解释说，跨任务权限提升问题特别危险，因为许多用户通常认为受损容器与主机上的其他容器是隔离的。但ECScape证明情况并非如此。

“不需要任何错误配置。IMDS在每个ECS设置中默认启用，“Haziz说。

ECScape缓解措施与AWS的响应

Haziz发布了ECScape的概念验证漏洞利用，可在GitHub上获取。虽然Haziz将权限提升问题描述为AWS中的关键漏洞，但他说云巨头不同意这一评估，并告诉Haziz它"对AWS不构成安全问题”。

虽然AWS更新了其ECS文档以及最佳实践博客文章，但没有分配CVE，也没有发布补丁或更新。因此，Haziz解释说，防止ECScape攻击的责任在于客户，需要强化其ECS实例并应用缓解措施。他说，最重要的缓解措施是禁用IMDS或至少限制服务对任务的访问；即使攻击者入侵了一个容器，如果未启用IMDS，他们也无法获取其他任务凭证。

相关阅读：
NVIDIA容器漏洞与强化Kubernetes的机会

此外，Haziz建议组织限制ECS代理权限，并避免将高度敏感或特权任务与不受信任或低权限任务共置在同一EC2实例上。相反，他建议客户使用AWS Fargate，它提供更强的隔离，而不是EC2。

Dark Reading联系AWS就Haziz的研究进一步置评。在一份冗长的声明中，公司感谢Haziz和Sweet Security的研究，但强调客户完全控制基于EC2的ECS部署以及实例中运行的所有任务和容器。

“因此，客户有责任防范容器内寻求访问底层实例或其他容器中代码和数据的所有安全问题，“声明中写道。“总之，底层实例/操作系统中存在的任何IAM权限都被假定为并直接或间接地以某种方式可供客户及其部署的代码使用。”

相关阅读：
顶级苹果、谷歌VPN应用可能帮助中国监视用户

Haziz告诉Dark Reading，权限提升问题是AWS通过元数据和API端点暴露过多数据，以及使IAM任务和角色对客户过于复杂的结合。虽然AWS近年来高度重视IAM，但Haziz表示ECS角色和任务的复杂性导致了意想不到的后果。

“他们试图通过任务和角色让开发人员的生活更轻松，但他们没有考虑IMDS和任务可能被滥用，“他说。“他们暴露了很多API，我认为他们没有想到这会是一个问题。”

虽然Haziz认为ECScape是一个需要某种补丁的严重威胁，但他表示权限提升问题的性质将使其极其困难。“他们很难修复，因为必须确保所有ECS实例都运行新代理，而不是旧代理。”

关于作者

Rob Wright
高级新闻总监，Dark Reading

Rob Wright是Informa TechTarget安全团队的长期记者和高级新闻总监。他位于波士顿地区。

查看更多Rob Wright的文章

随时了解最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。

更多洞察
网络研讨会
为更有效的安全合作伙伴关系制定路线图
2025年8月13日
更多网络研讨会

活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
更多活动

您可能还喜欢
云安全
Kubernetes Pod继承过多权限
云安全
数千个ServiceNow KB实例暴露敏感公司数据
云安全
Fortinet确认通过第三方发生客户数据泄露
云安全
社交精明的Scattered Spider诱捕云管理员

特色内容
查看Black Hat USA会议指南，获取更多关于展会的报道和情报。

编辑选择
网络攻击与数据泄露
思科用户数据在网络钓鱼攻击中被盗
作者：Alexander Culafi
2025年8月4日
3分钟阅读

Dark Reading Confidential黑白标识
网络安全运营
Dark Reading Confidential：资助未来的CVE计划
作者：Dark Reading Staff
2025年7月30日

现代概念艺术海报与古代维纳斯半身像
应用安全
对Vibe编码进行网络安全氛围检查
作者：Alexander Culafi
2025年7月30日
5分钟阅读

网络研讨会
为更有效的安全合作伙伴关系制定路线图
2025年8月13日
更多网络研讨会

白皮书
不断演变的勒索软件威胁：商业领袖应了解的数据泄露
保护企业高管和VIP免受网络攻击
身份访问管理101
XDR在现代SOC中的影响
2021年Gartner托管检测与响应市场指南报告
更多白皮书

活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
更多活动

探索更多
Black Hat
Omdia
与我们合作
关于我们
广告
重印
加入我们
新闻通讯注册
关注我们

版权所有 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营，该全球网络的一部分，旨在告知、影响和连接全球技术买家和卖家。所有版权归其所有。Informa PLC的注册办公室位于5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室位于275 Grove St. Newton, MA 02466。

首页|Cookie政策|隐私|使用条款