Els investigadors de SentinelOne han trobat una greu vulnerabilitat en múltiples cloud serveis, inclosos els serveis populars d'AWS. L'amenaça s'ha arreglat des de llavors.
SentinelLabs és una extensió de l'organització de seguretat SentinelOne. L'organització busca i troba vulnerabilitats en la tecnologia d'ús habitual. Les troballes es comparteixen primer amb el proveïdor o desenvolupador d'un servei o producte. Només després d'un pedaç, SentinelLabs es comunica obertament sobre un incident. Una precaució important per prevenir els abusos durant la vulnerabilitat.
A principis d'aquest any, SentinelLabs va trobar una vulnerabilitat a Eltima SDK. Diversos proveïdors, inclòs AWS, incorporen Eltima SDK als seus productes i cloud serveis. Milions d'usuaris globals entren en contacte amb Eltima SDK. Les seves organitzacions van estar en risc durant mesos.
El mètode
Una de les eines d'Eltima SDK permet connectar en cadena un dispositiu USB local a un dispositiu remot. Per exemple, una màquina virtual a AWS WorkSpaces, un dels serveis que Eltima SDK ofereix als usuaris. SentinelLabs va trobar vulnerabilitats als controladors mitjançant els quals Eltima SDK redirigeix les dades USB. L'organització va crear un desbordament per executar codi al nucli d'un sistema operatiu.
La conseqüència
SentinelLabs va utilitzar diferents mètodes per a les diferents solucions que es van trobar com a vulnerables, com Amazon AppStream, NoMachine per Windows, Accops HyWorks per Windows, FlexiHub i Donglify. El risc era el mateix per a cada solució. El codi es podria executar al nucli del sistema operatiu en què s'utilitzava Eltima SDK. Per exemple, per atorgar l'autorització.
Accops va respondre a la notícia amb una pàgina de preguntes freqüents per als usuaris preocupats, igual que NoMachine. Tots els proveïdors, inclosos FlexiHub i Donglify, van pegar el programari automàticament. Com que els usuaris d'AWS WorkSpaces tenen l'opció de desactivar el manteniment automàtic, SentinelLabs recomana que actualitzin el client manualment.