ECScape: Understanding IAM Privilege Boundaries in Amazon ECS
9 months ago
- #Cloud Computing
- #Security
- #AWS ECS
- 在EC2上运行的Amazon ECS任务可能因共享实例元数据而向同一主机上的其他任务暴露凭证。
- 一种名为'ECScape'的技术允许低权限容器冒充ECS代理,从高权限任务窃取凭证。
- 该攻击通过IMDS访问EC2实例角色,伪造与ECS控制平面的WebSocket连接,并窃取任务凭证。
- 被盗凭证在CloudTrail中显示为合法活动,若无异常监控则难以检测。
- AWS Fargate通过在每个任务独立的微VM中运行提供更强隔离性,可防止凭证泄露。
- 缓解措施包括禁用任务的IMDS访问、隔离高权限任务、实施最小权限原则及监控异常角色使用。
- AWS更新了文档以明确共享EC2实例的凭证泄露风险,但未将其归类为漏洞。