Pesquisadores identificaram uma falha crítica no Amazon Elastic Container Service (ECS) que permite movimentação lateral entre tarefas executadas no mesmo host. Batizada de ECScape, a técnica explorada permite que uma tarefa maliciosa com baixo privilégio acesse dados confidenciais ou credenciais vinculadas a outras tarefas, inclusive aquelas com permissões elevadas, comprometendo a segurança do ambiente.
A descoberta foi apresentada na conferência Black Hat USA por um especialista em segurança da nuvem, que destacou como a arquitetura de contêineres compartilhando o mesmo host pode violar os princípios de isolamento. O ataque explora o fato de que tarefas distintas, mesmo com diferentes funções e permissões, operam dentro do mesmo sistema subjacente, facilitando a obtenção de metadados e tokens de acesso que deveriam estar protegidos. A falha não é resultado de um erro no software da AWS, mas sim de uma limitação no design de segurança quando tarefas são executadas em ambientes multi-tenant sem o devido isolamento.
Embora a AWS ofereça mecanismos como o AWS Fargate para mitigar esse tipo de risco, muitos usuários ainda optam por modelos de execução que priorizam eficiência de custo em detrimento da segurança. Como prevenção, os pesquisadores recomendam que empresas evitem executar tarefas privilegiadas em ambientes compartilhados com aplicações menos confiáveis. Também alertam para a necessidade de desabilitar acessos desnecessários ao serviço de metadados da instância (IMDS) e revisar permissões associadas ao agente ECS.
