Siber Güvenlik

Araştırmacılar Amazon ECS’de görevler arası kimlik hırsızlığı açığı buldu.

teknomers
teknomers

Amazon ECS’de Bulunan Güvenlik Açığı ve Tehditler

Son dönemde, Amazon’un Elastic Container Service (ECS) platformunda tespit edilen bir güvenlik açığı, siber güvenlik alanında ciddi endişelere yol açtı. İkincil ve lateral hareket imkanı sunan bu açık, saldırganların hassas verilere ulaşmasına ve bulut ortamını ele geçirmesine olanak tanıyabiliyor. Sweet Security araştırmacısı Naor Haziz’in Black Hat USA güvenlik konferansında paylaştığı bilgileri incelediğimizde, durumun ne kadar tehlikeli olduğunu daha iyi anlıyoruz.

Contents

ECScape: Yeni Bir Tehdit

Haziz, bu güvenlik açığını ‘ECScape’ adıyla tanımladı. Yürütülen araştırmalara göre, belgelenmemiş bir ECS iç protokolünü kötüye kullanarak, aynı EC2 örneği üzerinde çalışan diğer ECS görevlerine ait AWS kimlik bilgilerine erişim sağlama imkanı olduğu bildiriliyor. Düşük yetkilere sahip bir IAM (Kimlik ve Erişim Yönetimi) rolüne sahip kötü niyetli bir konteyner, bu sayede daha yüksek yetkileri olan bir konteynerin izinlerine ulaşabiliyor.

Açığın Mekanizması

Bu güvenlik açığı, aslında düşük yetkilere sahip bir ECS görevine daha yüksek yetkilere sahip bir konteynerin IAM haklarını talep etme fırsatı sunuyor. Kötü niyetli bir uygulama, ECS kümesi içindeki diğer görevlerin rollerini üstlenebiliyor. Bunu gerçekleştirmek için 169.254.170.2 adresindeki bir meta veri hizmetini kullanarak, görevle ilişkili geçici kimlik bilgilerini ele geçiriyor.

Bu aşamalar şu şekilde sıralanabilir:

  1. Host’un IAM rolü kimlik bilgilerini elde etme: Bu sayede ajanı taklit edebilmek için gerekli bilgiye ulaşılır.
  2. ECS kontrol düzlemi endpoint’ini keşfetme: Ajanın iletişim kurduğu noktayı bulma.
  3. Kimlik bilgilerini toplama: Gerekli tanımlayıcıları (küme adı/ARN, konteyner örneği ARN, ajan versiyon bilgisi, Docker versiyonu, ACS protokol versiyonu ve sıra numarası) toplama.
  4. ACS WebSocket İsteğini oluşturma: Ajanı taklit ederek imzalama işlemi yapmak.
  5. Tüm çalışan görevlerin kimlik bilgilerini toplama.

Haziz’in belirttiği gibi, bu sahte ajan bağlantısı oldukça gizli kalıyor; kötü niyetli gösterim, ajanın beklediği davranışları aynı şekilde taklit ediyor. Bu durumda, bir kez sistem ele geçirildiğinde, diğer görevlerin IAM rolü kimlik bilgilerine ulaşmak mümkün hale geliyor.

ECScape’ın Sonuçları ve Öneriler

ECScape, ECS görevlerinin paylaşılan EC2 ana makinelerinde çalışması durumunda ciddi sonuçlar doğurabilir. Bu açık, görevler arası yetki yükseltme ve gizli bilgi sızdırma riskini artırıyor. Amazon, bu konuda müşterilerine daha güçlü bir izolasyon modeli benimsemeleri gerektiğini vurgulamış ve EC2’de görev izolasyonu olmadığını belirtmiştir. Ayrıca, containers’ların diğer görevlerin kimlik bilgilerine erişebileceği konusunda kullanıcılara önemli uyarılarda bulunmuştur.

Bu tür açıkların önlenmesi adına önerilen yöntemler arasında:

  • Yüksek yetkili görevleri güvensiz veya düşük yetkili görevlerle aynı örnekte konuşlandırmamak,
  • Gerçek izolasyon sağlamak için AWS Fargate kullanmak,
  • Görevlerin IMDS erişimini kısıtlamak veya devre dışı bırakmak,
  • ECS ajan izinlerini sınırlamak ve CloudTrail uyarılarını kurmak yer almaktadır.

Güvenlik Açıklarının Genel Durumu

Bu gelişme, son haftalarda rapor edilen birkaç bulutla ilgili güvenlik açığının ortasında yer alıyor. Örneğin, Google Cloud Build’in GitHub entegrasyonundaki bir yarış koşulu, bir saldırganın korumacı incelemeyi atlayarak incelemeden geçmiş kodları derlemesine olanak tanıyordu. Aynı şekilde, Oracle Cloud Infrastructure’da tespit edilen bir uzaktan kod yürütme açığı, bir saldırganın hedef kullanıcının Cloud Shell ortamını ele geçirmesine neden olabiliyordu.

Ayrıca, Microsoft’un Entra ID içindeki bir hizmet aracısının zayıflığından yararlanan bir saldırı tekniği tespit edildi. Azure Machine Learning hizmetinde, yalnızca bir Depolama Hesabı erişimiyle bir saldırganın çağrı yapan komut dosyalarını değiştirmesine izin veren bir güvenlik açığı olduğu raporlandı.

Siber Güvenlikte Dikkat Edilmesi Gerekenler

AWS’nin sağladığı kolaylıklar, geliştiriciler için işleri kolaylaştırsa da, farklı yetki seviyelerine sahip birden fazla görevin aynı ana bilgisayarı paylaşması durumunda, güvenlik mekanizmaları ve izolasyon düzeyleri çok önemlidir. Siber güvenlik uzmanları, her bir servisin en az ayrıcalıklara sahip olması gerektiğini ve eski servis hesaplarının kullanılmadığından emin olunması gerektiğini vurguluyor.

Sonuç olarak, bu tür tehditlerle başa çıkmak için, bulut ortamının güvenliği sağlanmalı ve güncel güvenlik yamaları uygulanmalıdır. Her durumda güvenlik bir öncelik olmalıdır, çünkü bir saldırının etkileri, önlenmesi kolay bir açığın doğurabileceği zararlarla kıyaslanamayacak kadar büyüktür.

Güncel Siber Güvenlik Haberleri – 1

Jsaux, Amazon vahşi doğasından kaçmak için Steam Destesine nasıl bindi?
Amazon, kaçırılamaz bir Galaxy Watch 6 Klasik Promosyonu atar ve sizi% 45 kurtarır
Amazon Prime Günü 2025: İkinci günde alışveriş yapacağımız en iyi fırsatlar.
Google’ın haritalama alanındaki hakimiyeti, Meta, Microsoft, Amazon ve diğerlerinin yeni girişimleriyle sarsılabilir.
2025 Pentesting Raporu’ndan Önemli Bilgiler
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Lady Gaga’nın ‘Wednesday’ şarkısına Tim Burton yönetmenliğinde klip çekilecek.
Sonraki Makale Google, Gemini ile ChatGPT’nin Çalışma Modu’na rakip ‘Rehberli Öğrenme’ aracını sunuyor.

Sanal Medya

Son Eklenenler

Trump yönetimi OpenAI’de hisse alabilir mi?
Yapay Zeka
AMD B650 genişletme kartları $199’dan satışa sunuldu: 4 M.2 ve 11 USB portu ekleyin
Donanım
Path of Exile 2 Oynamayı Bırakanlar İçin Şok Gelişme
Oyun
4K Blu-ray’lerde Babalar Günü Öncesi Üç Tane 33 Dolar
Liste
Heyecan Verici Bir Yolculuk: God of War Laufey’in Yönetmeni Taraftarları Bekliyor
Oyun
Dan Greaney’nin İlk Başkanlık Kampanya Mitingi: Şaka Değil!
Genel