Изследователите на SentinelOne са открили сериозна уязвимост в множество cloud услуги, включително популярни услуги от AWS. Оттогава заплахата е закърпена.
SentinelLabs е разширение на организацията за сигурност SentinelOne. Организацията търси и открива уязвимости в често използваните технологии. Констатациите първо се споделят с доставчика или разработчика на услуга или продукт. Само след кръпка SentinelLabs открито комуникира за инцидент. Важна предпазна мярка за предотвратяване на злоупотреба по време на уязвимостта.
По-рано тази година SentinelLabs откри уязвимост в Eltima SDK. Множество доставчици, включително AWS, включват Eltima SDK в своите продукти и cloud услуги. Милиони потребители по света влизат в контакт с Eltima SDK. Техните организации бяха изложени на риск в продължение на месеци.
Метод
Един от инструментите в Eltima SDK дава възможност за последователно свързване на локално USB устройство към отдалечено устройство. Например виртуална машина в AWS WorkSpaces, една от услугите, които Eltima SDK предлага на потребителите. SentinelLabs откри уязвимости в драйверите, през които Eltima SDK пренасочва USB данни. Организацията създаде препълване за изпълнение на код в ядрото на операционна система.
Последствието
SentinelLabs използва различни методи за различните решения, установени като уязвими, включително Amazon AppStream, NoMachine за Windows, Accops HyWorks за Windows, FlexiHub и Dongliify. Рискът беше еднакъв за всяко решение. Кодът може да се изпълнява на ядрото на операционната система, на която е използван Eltima SDK. Например за предоставяне на разрешение.
Accops отговори на новините със страница с често задавани въпроси за загрижени потребители, както и NoMachine. Всеки доставчик, включително FlexiHub и Donglify, автоматично закърпиха софтуера. Тъй като потребителите на AWS WorkSpaces имат опцията да деактивират автоматичната поддръжка, SentinelLabs препоръчва да актуализират клиента ръчно.