كشف الباحث ناور حازيز من شركة Sweet Security، خلال مؤتمر Black Hat USA 2025، عن ثغرة خطيرة في منصة Amazon ECS تتيح للحاويات منخفضة الصلاحيات ضمن مهام ECS المستندة إلى EC2 الاستيلاء على أدوار IAM عالية الصلاحيات من حاويات أخرى على نفس الخادم.
تحمل الثغرة اسم ECScape وتعود إلى آلية توزيع بيانات الاعتماد في ECS، حيث يقوم نظام التحكم في ECS بإرسال بيانات اعتماد IAM للمهام عبر بروتوكول داخلي غير موثق (Agent Communication Service – ACS) باستخدام WebSocket، ويمكن للمهاجم الوصول إليه في حال حصوله أولاً على بيانات اعتماد دور EC2 من خدمة بيانات تعريف المثيل (IMDS).
وأوضح حازيز أن هذه الآلية تتيح للتطبيقات المخترقة ضمن بيئة ECS انتحال هوية الوكيل (ECS Agent) وطلب بيانات اعتماد مهام أخرى على نفس الخادم، بما في ذلك أدوار تنفيذ المهام، وهو ما قد يُستغل للوصول إلى أسرار أو ملفات حساسة. وأشار إلى أن هذا التصعيد لا يتطلب كسر العزل بين الحاويات، لكنه يعتمد على استغلال إمكانية الوصول الافتراضية لـ IMDS من داخل الحاوية عبر حيل على مستوى الشبكة والنظام ضمن مساحة أسماء الحاوية.
وبمجرد الحصول على بيانات اعتماد دور المثيل، يستطيع المهاجم إنشاء اتصال مزور عبر قناة ACS لاعتراض أو طلب بيانات اعتماد IAM لمهام أخرى، مما يمكّنه من تنفيذ عمليات موقعة بمفاتيح الضحية. وتظهر هذه العمليات في سجلات AWS CloudTrail وكأنها صادرة من المهام المستهدفة، مما يجعل اكتشاف الهجوم أكثر صعوبة.
وأشار الباحث إلى أن بيئة AWS Fargate توفر حماية أفضل من هذه الثغرة، حيث تعمل كل مهمة في Fargate داخل بيئة معزولة بآلية micro VM ولها IMDS وECS Agent خاصان بها، مما يمنع استغلال آلية القنوات المشتركة.
وأوصت Sweet Security بعدة إجراءات للحد من المخاطر، منها تعطيل أو تقييد وصول الحاويات الأقل موثوقية إلى IMDS، وتجنب تشغيل مهام منخفضة وعالية الصلاحية على نفس خادم EC2، والتحول إلى استخدام Fargate لتعزيز العزل.
تم طلب تخصيص معرف CVE لهذه الثغرة، كما نُشر على GitHub نموذج برمجي لإثبات المفهوم، إضافة إلى عرض توضيحي مباشر في المؤتمر، وأكد حازيز أن الإعدادات الافتراضية لـ ECS على EC2 كافية لتنفيذ الهجوم دون الحاجة إلى أي سوء إعداد من قبل المستخدم.
