Ευπάθειες του Amazon EKS εκθέτουν διαπιστευτήρια AWS
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Ευπάθειες του Amazon EKS εκθέτουν διαπιστευτήρια AWS
https://www.secnews.gr/651727/epatheies-amazon-eks-ekthetoun-diapisteftiria-aws/
Jun 23rd 2025, 13:02
by Absenta Mia
Κρίσιμες ευπάθειες στην υπηρεσία Amazon Elastic Kubernetes Service (EKS) επιτρέπουν σε containers με υπερβολικά δικαιώματα να εκθέτουν ευαίσθητα AWS credentials μέσω επιθέσεων packet sniffing και API spoofing.
Δείτε επίσης: Amazon: Το AI θα οδηγήσει σε μείωση του προσωπικού
Η έρευνα, που δημοσιεύθηκε στις 19 Ιουνίου 2025, αποδεικνύει πώς η λανθασμένη διαμόρφωση containers μπορεί να διευκολύνει τη μη εξουσιοδοτημένη πρόσβαση και την κλιμάκωση δικαιωμάτων σε περιβάλλοντα cloud, αναδεικνύοντας σοβαρούς κινδύνους στο μοντέλο κοινής ευθύνης της AWS. Η ευπάθεια στοχεύει συγκεκριμένα τη λειτουργία Amazon EKS Pod Identity, η οποία έχει σχεδιαστεί για να απλοποιεί τη διαχείριση AWS credentials για pods που εκτελούνται σε EKS clusters. Η υπηρεσία λειτουργεί μέσω του προσθέτου eks-pod-identity-agent, το οποίο εκτελείται ως DaemonSet στο namespace kube-system και εκθέτει ένα API στη διεύθυνση link-local 169.254.170.23 για IPv4 και [fd00:ec2::23] για IPv6, στη θύρα 80.
Ο agent δέχεται tokens λογαριασμών υπηρεσίας του Kubernetes (service account tokens) στην κεφαλίδα Authorization και καλεί τη δράση API eks-auth:AssumeRoleForPodIdentity.
Όταν οι εφαρμογές κάνουν αιτήματα προς υπηρεσίες της AWS, το SDK ανακτά αυτόματα προσωρινά credentials από τον EKS Pod Identity agent, ο οποίος με τη σειρά του αλληλεπιδρά με το AWS API για να αποκτήσει τα απαραίτητα credentials που αντιστοιχούν στον σχετικό IAM ρόλο.
Οι ερευνητές εντόπισαν δύο βασικούς τρόπους επίθεσης που εκμεταλλεύονται τα υπερβολικά προνόμια των containers.
Δείτε ακόμα: Amazon κέντρα δεδομένων: Σημαντικές επενδύσεις στην Αυστραλία
Ο πρώτος αφορά packet sniffing, κατά τον οποίο containers που είναι διαμορφωμένα με την παράμετρο hostNetwork: true μπορούν να παρακολουθούν την κυκλοφορία του δικτύου και να υποκλέπτουν credentials που μεταδίδονται σε απλό κείμενο (plaintext) από το API endpoint 169.254.170.23:80.
Ευπάθειες του Amazon EKS εκθέτουν διαπιστευτήρια AWS
Ένα proof-of-concept με χρήση του εργαλείου tcpdump, έδειξε επιτυχώς την υποκλοπή credentials μέσω μη κρυπτογραφημένης HTTP κυκλοφορίας.
Ο δεύτερος τρόπος επίθεσης βασίζεται σε τεχνικές API spoofing. Ακόμα και όταν έχει αφαιρεθεί η ικανότητα CAP_NET_RAW, τα containers που διατηρούν το προνόμιο CAP_NET_ADMIN μπορούν να τροποποιήσουν τις ρυθμίσεις της κάρτας δικτύου (NIC).
Οι επιτιθέμενοι μπορούν να απενεργοποιήσουν τον HTTP daemon του eks-pod-identity-agent διαγράφοντας τη διεύθυνση link-local, και στη συνέχεια να αναπτύξουν τον δικό τους HTTP server στη διεύθυνση 169.254.170.23:80, με στόχο την υποκλοπή tokens που αποστέλλονται μέσω της κεφαλίδας Authorization.
Η Trend Micro ανέπτυξε ένα proof-of-concept σε Python, χρησιμοποιώντας τη βιβλιοθήκη pyroute2, για να αποδείξει τη λειτουργικότητα αυτής της επίθεσης.
Δείτε επίσης: Amazon: Ανθρωποειδή ρομπότ για παράδοση πακέτων;
Βάσει των παραπάνω, γίνεται φανερό ότι η κακή διαχείριση δικαιωμάτων και η ελλιπής απομόνωση σε cloud-native περιβάλλοντα, όπως το Amazon EKS, μπορεί να οδηγήσουν σε σοβαρές παραβιάσεις ασφαλείας. Οι συγκεκριμένες ευπάθειες αναδεικνύουν ένα θεμελιώδες πρόβλημα: την ανάγκη για αυστηρότερο least privilege μοντέλο στην εκχώρηση capabilities στα containers και καλύτερη απομόνωση μεταξύ pods.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Ευπάθειες του Amazon EKS εκθέτουν διαπιστευτήρια AWS
https://www.secnews.gr/651727/epatheies-amazon-eks-ekthetoun-diapisteftiria-aws/
Jun 23rd 2025, 13:02
by Absenta Mia
Κρίσιμες ευπάθειες στην υπηρεσία Amazon Elastic Kubernetes Service (EKS) επιτρέπουν σε containers με υπερβολικά δικαιώματα να εκθέτουν ευαίσθητα AWS credentials μέσω επιθέσεων packet sniffing και API spoofing.
Δείτε επίσης: Amazon: Το AI θα οδηγήσει σε μείωση του προσωπικού
Η έρευνα, που δημοσιεύθηκε στις 19 Ιουνίου 2025, αποδεικνύει πώς η λανθασμένη διαμόρφωση containers μπορεί να διευκολύνει τη μη εξουσιοδοτημένη πρόσβαση και την κλιμάκωση δικαιωμάτων σε περιβάλλοντα cloud, αναδεικνύοντας σοβαρούς κινδύνους στο μοντέλο κοινής ευθύνης της AWS. Η ευπάθεια στοχεύει συγκεκριμένα τη λειτουργία Amazon EKS Pod Identity, η οποία έχει σχεδιαστεί για να απλοποιεί τη διαχείριση AWS credentials για pods που εκτελούνται σε EKS clusters. Η υπηρεσία λειτουργεί μέσω του προσθέτου eks-pod-identity-agent, το οποίο εκτελείται ως DaemonSet στο namespace kube-system και εκθέτει ένα API στη διεύθυνση link-local 169.254.170.23 για IPv4 και [fd00:ec2::23] για IPv6, στη θύρα 80.
Ο agent δέχεται tokens λογαριασμών υπηρεσίας του Kubernetes (service account tokens) στην κεφαλίδα Authorization και καλεί τη δράση API eks-auth:AssumeRoleForPodIdentity.
Όταν οι εφαρμογές κάνουν αιτήματα προς υπηρεσίες της AWS, το SDK ανακτά αυτόματα προσωρινά credentials από τον EKS Pod Identity agent, ο οποίος με τη σειρά του αλληλεπιδρά με το AWS API για να αποκτήσει τα απαραίτητα credentials που αντιστοιχούν στον σχετικό IAM ρόλο.
Οι ερευνητές εντόπισαν δύο βασικούς τρόπους επίθεσης που εκμεταλλεύονται τα υπερβολικά προνόμια των containers.
Δείτε ακόμα: Amazon κέντρα δεδομένων: Σημαντικές επενδύσεις στην Αυστραλία
Ο πρώτος αφορά packet sniffing, κατά τον οποίο containers που είναι διαμορφωμένα με την παράμετρο hostNetwork: true μπορούν να παρακολουθούν την κυκλοφορία του δικτύου και να υποκλέπτουν credentials που μεταδίδονται σε απλό κείμενο (plaintext) από το API endpoint 169.254.170.23:80.
Ευπάθειες του Amazon EKS εκθέτουν διαπιστευτήρια AWS
Ένα proof-of-concept με χρήση του εργαλείου tcpdump, έδειξε επιτυχώς την υποκλοπή credentials μέσω μη κρυπτογραφημένης HTTP κυκλοφορίας.
Ο δεύτερος τρόπος επίθεσης βασίζεται σε τεχνικές API spoofing. Ακόμα και όταν έχει αφαιρεθεί η ικανότητα CAP_NET_RAW, τα containers που διατηρούν το προνόμιο CAP_NET_ADMIN μπορούν να τροποποιήσουν τις ρυθμίσεις της κάρτας δικτύου (NIC).
Οι επιτιθέμενοι μπορούν να απενεργοποιήσουν τον HTTP daemon του eks-pod-identity-agent διαγράφοντας τη διεύθυνση link-local, και στη συνέχεια να αναπτύξουν τον δικό τους HTTP server στη διεύθυνση 169.254.170.23:80, με στόχο την υποκλοπή tokens που αποστέλλονται μέσω της κεφαλίδας Authorization.
Η Trend Micro ανέπτυξε ένα proof-of-concept σε Python, χρησιμοποιώντας τη βιβλιοθήκη pyroute2, για να αποδείξει τη λειτουργικότητα αυτής της επίθεσης.
Δείτε επίσης: Amazon: Ανθρωποειδή ρομπότ για παράδοση πακέτων;
Βάσει των παραπάνω, γίνεται φανερό ότι η κακή διαχείριση δικαιωμάτων και η ελλιπής απομόνωση σε cloud-native περιβάλλοντα, όπως το Amazon EKS, μπορεί να οδηγήσουν σε σοβαρές παραβιάσεις ασφαλείας. Οι συγκεκριμένες ευπάθειες αναδεικνύουν ένα θεμελιώδες πρόβλημα: την ανάγκη για αυστηρότερο least privilege μοντέλο στην εκχώρηση capabilities στα containers και καλύτερη απομόνωση μεταξύ pods.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz