En un descubrimiento reciente que ha sacudido la comunidad de ciberseguridad, un equipo de investigadores de Sweet Security reveló una falla crítica en Amazon Elastic Container Service (ECS), denominada ECScape.
Esta vulnerabilidad permite que un contenedor con bajos privilegios acceda a credenciales confidenciales de otros contenedores que se ejecutan en la misma instancia EC2, rompiendo el aislamiento que se supone debe proteger cada tarea.
También te podría interesar: Línea de Código Paralizó Google Cloud: Un Fallo Global
El hallazgo fue presentado en la prestigiosa conferencia Black Hat USA 2025, donde se detalló cómo el ataque aprovecha un protocolo interno no documentado de ECS. Al suplantar al agente legítimo del sistema, un contenedor malicioso puede establecer una conexión WebSocket falsa y comenzar a recolectar credenciales temporales de IAM de todas las tareas activas. Lo más alarmante es que este comportamiento se camufla perfectamente, imitando los patrones normales del agente de ECS, lo que lo hace extremadamente difícil de detectar.
Este tipo de ataque representa una amenaza directa para la seguridad en entornos compartidos, donde múltiples servicios o aplicaciones se ejecutan en contenedores dentro de una misma máquina virtual. Si no se toman las medidas de mitigación adecuadas, un atacante podría escalar privilegios, acceder a datos sensibles y comprometer por completo la infraestructura cloud de una organización.
La vulnerabilidad ECScape no solo pone en evidencia los riesgos de compartir instancias entre tareas con diferentes niveles de confianza, sino que también subraya la necesidad de adoptar prácticas de aislamiento más estrictas, como el uso de AWS Fargate, la restricción del acceso al servicio de metadatos de instancia (IMDS) y la implementación de alertas proactivas en AWS CloudTrail.
Secuencia de la vulnerabilidad
- Obtiene las credenciales del rol IAM del host (rol de instancia EC2) para suplantar al agente.
- Descubre el punto de conexión del plano de control de ECS con el que se comunica el agente.
- Reúne los identificadores necesarios (nombre del clúster/ARN, ARN de la instancia del contenedor, información de la versión del agente, versión de Docker, versión del protocolo ACS y número de secuencia) para autenticarse como agente a través del punto de conexión de metadatos de tarea y la API de introspección de ECS.
- Falsifica y firma la solicitud WebSocket del Servicio de Comunicación del Agente (ACS) haciéndose pasar por el agente con el parámetro sendCredentials establecido en "true".
- Recopila credenciales para todas las tareas que se ejecutan en esa instancia.
También te podría interesar: Fortalece tu Protección de Datos ante la Amenaza Cuántica
Recomendaciones:
- Evitar implementar tareas con privilegios altos junto con tareas no confiables o con privilegios bajos en la misma instancia.
- Usar AWS Fargate para un aislamiento verdadero.
- Deshabilitar o restringir el acceso al servicio de metadatos de instancia (IMDS) para las tareas.
- Limitar los permisos del agente de ECS.
- Configurar alertas de CloudTrail para detectar el uso inusual de los roles de IAM.
La vulnerabilidad ECScape es un claro recordatorio de que la seguridad en entornos de contenedores requiere una vigilancia constante y una gestión experta. Navegar por las complejidades de plataformas como Amazon ECS y asegurar una configuración robusta con servicios como CloudTrail e IAM puede ser un desafío.
Para garantizar la protección de tus activos digitales y cumplir con las mejores prácticas de ciberseguridad, es crucial contar con un socio especializado. E-DEA NETWORKS ofrece soluciones integrales de consultoría y gestión de seguridad en la nube, permitiendo a tu organización mitigar proactivamente riesgos como el de ECScape y fortalecer la defensa de tu infraestructura crítica.
Referencia:
- https://thehackernews.com/2025/08/researchers-uncover-ecscape-flaw-in.html
- https://aws.amazon.com/es/security/security-bulletins/AWS-2025-018/
- https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html
- https://aws.amazon.com/es/blogs/security/security-considerations-for-running-containers-on-amazon-ecs/
