Οι ερευνητές του SentinelOne έχουν βρει μια σοβαρή ευπάθεια σε πολλά cloud υπηρεσίες, συμπεριλαμβανομένων δημοφιλών υπηρεσιών από το AWS. Η απειλή έκτοτε διορθώθηκε.
Το SentinelLabs είναι μια επέκταση του οργανισμού ασφαλείας SentinelOne. Ο οργανισμός αναζητά και βρίσκει τρωτά σημεία στην κοινώς χρησιμοποιούμενη τεχνολογία. Τα ευρήματα κοινοποιούνται πρώτα με τον προμηθευτή ή τον προγραμματιστή μιας υπηρεσίας ή προϊόντος. Μόνο μετά από μια ενημέρωση κώδικα, το SentinelLabs επικοινωνεί ανοιχτά για ένα περιστατικό. Μια σημαντική προφύλαξη για την πρόληψη της κατάχρησης κατά τη διάρκεια της ευπάθειας.
Νωρίτερα φέτος, η SentinelLabs βρήκε μια ευπάθεια στο Eltima SDK. Πολλοί προμηθευτές, συμπεριλαμβανομένου του AWS, ενσωματώνουν το Eltima SDK στα προϊόντα τους και cloud Υπηρεσίες. Εκατομμύρια παγκόσμιοι χρήστες έρχονται σε επαφή με το Eltima SDK. Οι οργανώσεις τους κινδύνευαν για μήνες.
Η μέθοδος
Ένα από τα εργαλεία στο Eltima SDK καθιστά δυνατή τη σύνδεση μιας τοπικής συσκευής USB σε μια απομακρυσμένη συσκευή. Για παράδειγμα, μια εικονική μηχανή στο AWS WorkSpaces, μια από τις υπηρεσίες που προσφέρει το Eltima SDK στους χρήστες. Το SentinelLabs εντόπισε ευπάθειες στα προγράμματα οδήγησης μέσω των οποίων το Eltima SDK ανακατευθύνει δεδομένα USB. Ο οργανισμός δημιούργησε μια υπερχείλιση για την εκτέλεση κώδικα στον πυρήνα ενός λειτουργικού συστήματος.
Η συνέπεια
Το SentinelLabs χρησιμοποίησε διαφορετικές μεθόδους για τις διάφορες λύσεις που βρέθηκαν ευάλωτες, συμπεριλαμβανομένων των Amazon AppStream, NoMachine για Windows, Accops HyWorks για Windows, FlexiHub και Dongify. Ο κίνδυνος ήταν ο ίδιος για κάθε λύση. Ο κώδικας θα μπορούσε να εκτελεστεί στον πυρήνα του λειτουργικού συστήματος στο οποίο χρησιμοποιήθηκε το Eltima SDK. Για παράδειγμα, για τη χορήγηση άδειας.
Η Accops απάντησε στις ειδήσεις με μια σελίδα FAQ για τους ενδιαφερόμενους χρήστες, όπως και το NoMachine. Κάθε προμηθευτής, συμπεριλαμβανομένων των FlexiHub και Dongify, διορθώθηκε αυτόματα το λογισμικό. Δεδομένου ότι οι χρήστες του AWS WorkSpaces έχουν την επιλογή να απενεργοποιήσουν την αυτόματη συντήρηση, τα SentinelLabs συνιστούν να ενημερώνουν τον υπολογιστή-πελάτη με μη αυτόματο τρόπο.