SentinelOne-forskere har fundet en alvorlig sårbarhed i flere cloud tjenester, herunder populære tjenester fra AWS. Truslen er siden blevet lappet.
SentinelLabs er en forlængelse af sikkerhedsorganisationen SentinelOne. Organisationen leder efter og finder sårbarheder i almindeligt anvendt teknologi. Resultater deles først med leverandøren eller udvikleren af en tjeneste eller et produkt. Først efter en patch kommunikerer SentinelLabs åbent om en hændelse. En vigtig forholdsregel for at forhindre misbrug under sårbarheden.
Tidligere i år fandt SentinelLabs en sårbarhed i Eltima SDK. Flere leverandører, inklusive AWS, inkorporerer Eltima SDK i deres produkter og cloud tjenester. Millioner af globale brugere kommer i kontakt med Eltima SDK. Deres organisationer var i fare i flere måneder.
Metoden
Et af værktøjerne i Eltima SDK gør det muligt at kæde en lokal USB-enhed sammen med en ekstern enhed. For eksempel en virtuel maskine i AWS WorkSpaces, en af de tjenester, som Eltima SDK tilbyder brugerne. SentinelLabs fandt sårbarheder i driverne, hvorigennem Eltima SDK omdirigerer USB-data. Organisationen skabte et overløb for at køre kode i kernen af et operativsystem.
Konsekvensen
SentinelLabs brugte forskellige metoder til de forskellige løsninger, der fandtes at være sårbare, herunder Amazon AppStream, NoMachine for Windows, Accops HyWorks for Windows, FlexiHub og Donglify. Risikoen var den samme for hver løsning. Kode kunne køres på kernen af det operativsystem, hvor Eltima SDK blev brugt. For eksempel at give autorisation.
Accops svarede på nyhederne med en FAQ-side for bekymrede brugere, ligesom NoMachine gjorde. Hver leverandør, inklusive FlexiHub og Donglify, patchede softwaren automatisk. Da AWS WorkSpaces-brugere har mulighed for at deaktivere automatisk vedligeholdelse, anbefaler SentinelLabs, at de opdaterer klienten manuelt.