Исследователи обнаружили уязвимость ECScape в Amazon ECS, позволяющую похищать учетные данные между задачами

Приготовьтесь, техническое сообщество. В Amazon Elastic Container Service (ECS) обнаружена серьезная уязвимость под названием 'ECScape', и она так же страшна, как звучит. Исследователи выяснили, что агент ECS на экземплярах EC2 по сути утекает учетные данные IAM в контейнеры. Это означает, что если вы не изолируете свои задачи должным образом, вы передаете ключи от вашего AWS-королевства любому, кто знает, как попросить.

Вот в чем загвоздка: это не просто теоретическая уязвимость. Это полноценная вечеринка похищения учетных данных между задачами. Злоумышленники могут вальсировать и похищать учетные данные из других задач, работающих на том же экземпляре EC2. Приглашение не требуется.

Исследователи не просто нашли уязвимость; они продемонстрировали, как ее можно эксплуатировать через WebSocket-соединения. Это не ваша обычная ситуация 'обновите свое программное обеспечение'. Это звонок для пробуждения 'переосмыслите вашу стратегию безопасности контейнеров'.

Итак, что делать? Во-первых, если вы используете Amazon ECS на EC2, вам нужно проверить свою игру на изоляцию. AWS уведомлен, но пока исправление не вышло, вам нужно заблокировать свои контейнеры крепче, чем Форт-Нокс.