LAS VEGAS / LONDON (IT BOLTWISE) – Auf der Black Hat USA Sicherheitskonferenz in Las Vegas wurde eine bedeutende Sicherheitslücke in Amazons Elastic Container Service (ECS) vorgestellt. Diese Schwachstelle, die von Naor Haziz von Sweet Security entdeckt wurde, ermöglicht es Angreifern, IAM-Berechtigungen von höher privilegierten Containern zu übernehmen.

Die Sicherheitslücke, die als ECScape bezeichnet wird, stellt eine erhebliche Bedrohung für die Cloud-Infrastruktur dar, da sie Angreifern ermöglicht, sich lateral innerhalb eines ECS-Clusters zu bewegen und auf sensible Daten zuzugreifen. Diese Schwachstelle nutzt ein nicht dokumentiertes internes Protokoll von ECS aus, um AWS-Anmeldeinformationen von anderen ECS-Tasks auf demselben EC2-Host zu stehlen. Ein bösartiger Container mit niedrigen Berechtigungen kann so die Rechte eines höher privilegierten Containers übernehmen.

Amazon ECS ist ein vollständig verwalteter Container-Orchestrierungsdienst, der es Benutzern ermöglicht, containerisierte Anwendungen in der Cloud bereitzustellen, zu verwalten und zu skalieren. Die von Sweet Security identifizierte Schwachstelle ermöglicht eine Privilegieneskalation, indem ein Task mit niedrigen Berechtigungen die IAM-Berechtigungen eines höher privilegierten Containers auf demselben EC2-Host kapert.

Stellenangebote

Dozent Tourismusmanagement Tech und KI (m/w/d)
IU Internationale Hochschule
Bochum
SENIOR SOFTWARE DEVELOPER (ALL GENDERS) AI AND CLOUD APPLICATIONS — Stremler
STREMLER AG
Germany
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) - Social Profit GmbH
IU Internationale Hochschule
Dresden
Duales Studium Data Science / Künstliche Intelligenz in Kooperation mit der Dualen Hochschule Baden-Württemberg 2026 (m/w/d)
Mercedes-Benz Tech Innovation
Ulm
Dozent Tourismusmanagement Tech und KI (m/w/d)
IU Internationale Hochschule
Bremen
Alle KI-Jobs ansehen

Die Schwachstelle wird durch einen Metadatenservice bei 169.254.170[.]2 ermöglicht, der temporäre Anmeldeinformationen für die IAM-Rolle des Tasks bereitstellt. Ein Angreifer könnte die Identität des ECS-Agenten ausnutzen, um sich als dieser auszugeben und Anmeldeinformationen für jeden Task auf dem Host zu erhalten. Der Angriff erfolgt in mehreren Schritten, darunter das Erlangen der IAM-Rollen-Anmeldeinformationen des Hosts und das Fälschen von Anfragen an den Agent Communication Service (ACS).

Amazon hat nach der verantwortungsvollen Offenlegung der Schwachstelle betont, dass Kunden stärkere Isolationsmodelle anwenden sollten, wo dies möglich ist. Es wird empfohlen, hochprivilegierte Tasks nicht zusammen mit unzuverlässigen oder niedrig privilegierten Tasks auf demselben Host zu betreiben, AWS Fargate für echte Isolation zu nutzen und den Zugriff auf den Instanz-Metadatenservice (IMDS) einzuschränken.

Die Entdeckung von ECScape reiht sich in eine Serie von Sicherheitslücken in Cloud-Diensten ein, die in den letzten Wochen bekannt wurden. Dazu gehören Schwachstellen in Google Cloud Build, Oracle Cloud Infrastructure und Microsoft Azure, die alle potenziell schwerwiegende Auswirkungen auf die Sicherheit von Cloud-Umgebungen haben könnten.

Die zentrale Lektion aus diesen Vorfällen ist, dass jede Container-Instanz als potenziell kompromittierbar betrachtet werden sollte. Entwickler sollten die Sicherheitsmechanismen, die verschiedene Tasks auf einem Host isolieren, genau prüfen und sicherstellen, dass diese Mechanismen keine subtilen Schwächen aufweisen.

Hat Ihnen der Artikel bzw. die News - Sicherheitslücke in Amazon ECS: ECScape ermöglicht Credential-Diebstahl - gefallen? Dann abonnieren Sie uns doch auf Insta: AI News, Tech Trends & Robotics - Instagram - Boltwise

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Sicherheitslücke in Amazon ECS: ECScape ermöglicht Credential-Diebstahl
Sicherheitslücke in Amazon ECS: ECScape ermöglicht Credential-Diebstahl (Foto: DALL-E, IT BOLTWISE)

Stellenangebote

Bauprojektleiter Technische Gebäudeausrüstung Elektrotechnik für KI- Rechenzentrumprojekte (m/w/d)

Schwarz Corporate Solutions
Neckarsulm

Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell

IU Internationale Hochschule
Nürnberg

Senior Projektmanager (m/w/d) Softwarentwicklung & AI Solutions

Reply
Hamburg

Dozent Tourismusmanagement Tech und KI (m/w/d)

IU Internationale Hochschule
Rostock

Spezialist / (Senior) Manager (m/w/d) Outsourcing und Third Party Risk Management mit Schwerpunkt IT / Cloud / KI

Bausparkasse Schwäbisch Hall AG
Schwäbisch Hall

Praktikant*in Elektromobilität und KI-Analyse

Mercedes-Benz AG
Sindelfingen
Alle KI-Jobs ansehen
Folgen Sie aktuellen Beiträge über KI & Robotik auf Twitter, Telegram, Facebook oder LinkedIn!
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.

Diesen Artikel kommentieren


Ähnliche Beiträge aus unserem „Boltwise®“-Archiv:
  1. Kritische Sicherheitslücke in NVIDIA-Toolkit bedroht KI-Cloud-Dienste LONDON (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke im NVIDIA Container Toolkit stellt eine erhebliche Bedrohung für KI-gestützte Cloud-Dienste dar. Diese Schwachstelle, die als CVE-2025-23266 bekannt ist, ermöglicht es Angreifern, durch eine einfache dreizeilige Exploit-Anweisung...
  2. VMware schließt kritische Sicherheitslücken in ESXi und anderen Produkten LONDON (IT BOLTWISE) – VMware hat kürzlich eine Reihe von Sicherheitsupdates veröffentlicht, um kritische Schwachstellen in seinen Produkten ESXi, Workstation, Fusion und Tools zu beheben. Diese Schwachstellen könnten es Angreifern ermöglichen, Code auf Host-Systemen auszuführen,...
  3. Cyberkriminelle nutzen Docker-Schwachstellen für Krypto-Mining LONDON (IT BOLTWISE) – In einer zunehmend digitalisierten Welt, in der Cloud-Technologien und Containerisierung eine zentrale Rolle spielen, geraten Sicherheitslücken in den Fokus von Cyberkriminellen. Jüngste Berichte zeigen, dass Angreifer Docker-Umgebungen ins Visier nehmen, um...
  4. Docker-Exploits: Kryptowährungs-Mining über das Tor-Netzwerk LONDON (IT BOLTWISE) – Eine neue Angriffskampagne hat Sicherheitslücken in Docker Remote APIs ausgenutzt, um Kryptowährungs-Miner über das Tor-Netzwerk zu installieren. Diese raffinierte Methode nutzt die Anonymität des Tor-Netzwerks, um die Aktivitäten der Angreifer zu...
  5. Docker-Exploits: Kryptowährungs-Mining über das Tor-Netzwerk LONDON (IT BOLTWISE) – Eine neue Angriffskampagne hat gezeigt, wie Cyberkriminelle Docker Remote APIs und das Tor-Netzwerk nutzen, um Kryptowährungs-Miner auf den Systemen ihrer Opfer zu installieren. In der Welt der Cyberkriminalität haben Angreifer eine...
  6. Microsoft schließt kritische Sicherheitslücken in WEBDAV und Power Automate REDMOND / LONDON (IT BOLTWISE) – Microsoft hat kürzlich eine Reihe von Sicherheitsupdates veröffentlicht, die 67 Schwachstellen beheben, darunter eine kritische Zero-Day-Schwachstelle in WEBDAV, die bereits aktiv ausgenutzt wird. Microsoft hat eine bedeutende Sicherheitsaktualisierung veröffentlicht,...
  7. Cyberkriminelle nutzen Docker-Schwachstellen für Krypto-Mining LONDON (IT BOLTWISE) – In einer zunehmend digitalisierten Welt stehen Unternehmen vor der Herausforderung, ihre IT-Infrastrukturen gegen immer raffiniertere Cyberangriffe zu schützen. Ein aktuelles Beispiel zeigt, wie Angreifer Schwachstellen in Docker-APIs ausnutzen, um Kryptowährungen zu...
  8. Kritische Sicherheitslücken: CISA warnt vor aktiver Ausnutzung WASHINGTON / LONDON (IT BOLTWISE) – Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich vier schwerwiegende Sicherheitslücken in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Diese Entscheidung basiert auf der aktiven Ausnutzung dieser Schwachstellen...
  9. Kritische Sudo-Sicherheitslücken ermöglichen Root-Zugriff auf Linux-Systemen LONDON (IT BOLTWISE) – Sicherheitsforscher haben zwei schwerwiegende Schwachstellen im Sudo-Befehlszeilenprogramm für Linux und Unix-ähnliche Betriebssysteme aufgedeckt, die es lokalen Angreifern ermöglichen könnten, ihre Berechtigungen auf Root zu eskalieren. In der Welt der IT-Sicherheit sind...
  10. Cloud-Anbieter: Vertrauen in Herkunftsland gewinnt an Bedeutung BERLIN / LONDON (IT BOLTWISE) – In der heutigen digitalen Welt wird das Vertrauen in das Herkunftsland eines Cloud-Anbieters immer wichtiger. Besonders in Deutschland zeigt sich ein starker Trend hin zu heimischen Anbietern, während die...

Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
77 Bewertungen
Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
  • Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
24,00 EUR
Bei Amazon kaufen
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
135 Bewertungen
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
  • Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
24,00 EUR
Bei Amazon kaufen
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
71 Bewertungen
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
  • Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
29,99 EUR Amazon Prime
Bei Amazon kaufen
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
51 Bewertungen
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
  • Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
24,99 EUR Amazon Prime
Bei Amazon kaufen
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Da wir bei KI-erzeugten News und Inhalten selten auftretende KI-Halluzinationen nicht ausschließen können, bitten wir Sie bei Falschangaben und Fehlinformationen uns via eMail zu kontaktieren und zu informieren. Bitte vergessen Sie nicht in der eMail die Artikel-Headline zu nennen: "Sicherheitslücke in Amazon ECS: ECScape ermöglicht Credential-Diebstahl".
Stichwörter Amazon Angriff Cloud Container Cybersecurity Ecs Hacker IT-Sicherheit Netzwerksicherheit Privilegien Sicherheit
Alle Märkte in Echtzeit verfolgen - 30 Tage kostenlos testen!
Nächster Artikel

Google Pixel 10 Pro XL: Ein Blick auf das neue Flaggschiff-Smartphone

6. August 2025
Vorheriger Artikel

Erstes Coworking-Space in Mount Vernon eröffnet

6. August 2025

Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Sicherheitslücke in Amazon ECS: ECScape ermöglicht Credential-Diebstahl" für unsere Leser?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  • Die aktuellen intelligenten Ringe, intelligenten Brillen, intelligenten Uhren oder KI-Smartphones auf Amazon entdecken! (Sponsored)

    • Es werden alle Kommentare moderiert!

    Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.

    Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.

    Du willst nichts verpassen?

    Du möchtest über ähnliche News und Beiträge wie "Sicherheitslücke in Amazon ECS: ECScape ermöglicht Credential-Diebstahl" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
    Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Sicherheitslücke in Amazon ECS: ECScape ermöglicht Credential-Diebstahl« bei Google Deutschland suchen, bei Bing oder Google News!

    227 Leser gerade online auf IT BOLTWISE®
    KI-Jobs