Los investigadores de SentinelOne han encontrado una vulnerabilidad grave en múltiples cloud servicios, incluidos los servicios populares de AWS. Desde entonces, la amenaza ha sido reparada.
SentinelLabs es una extensión de la organización de seguridad SentinelOne. La organización busca y encuentra vulnerabilidades en la tecnología de uso común. Los hallazgos se comparten primero con el proveedor o desarrollador de un servicio o producto. Solo después de un parche, SentinelLabs se comunica abiertamente sobre un incidente. Una precaución importante para evitar abusos durante la vulnerabilidad.
A principios de este año, SentinelLabs encontró una vulnerabilidad en Eltima SDK. Múltiples proveedores, incluido AWS, incorporan Eltima SDK en sus productos y cloud servicios. Millones de usuarios globales entran en contacto con Eltima SDK. Sus organizaciones estuvieron en riesgo durante meses.
El método
Una de las herramientas en Eltima SDK hace posible conectar en cadena un dispositivo USB local a un dispositivo remoto. Por ejemplo, una máquina virtual en AWS WorkSpaces, uno de los servicios que Eltima SDK ofrece a los usuarios. SentinelLabs encontró vulnerabilidades en los controladores a través de los cuales Eltima SDK redirige los datos USB. La organización creó un desbordamiento para ejecutar código en el kernel de un sistema operativo.
La consecuencia
SentinelLabs utilizó diferentes métodos para las diversas soluciones que se encontraron vulnerables, incluidas Amazon AppStream, NoMachine for Windows, Accops HyWorks para Windows, FlexiHub y Donglify. El riesgo era el mismo para cada solución. El código podría ejecutarse en el kernel del sistema operativo en el que se usó Eltima SDK. Por ejemplo, para otorgar autorización.
Accops respondió a la noticia con una página de preguntas frecuentes para los usuarios preocupados, al igual que NoMachine. Todos los proveedores, incluidos FlexiHub y Donglify, parchearon el software automáticamente. Dado que los usuarios de AWS WorkSpaces tienen la opción de desactivar el mantenimiento automático, SentinelLabs recomienda que actualicen el cliente manualmente.