SentinelOne'i teadlased on leidnud mitmes tõsise haavatavuse cloud teenused, sealhulgas populaarsed AWS-i teenused. Oht on sellest ajast peale lapitud.
SentinelLabs on turvaorganisatsiooni SentinelOne laiendus. Organisatsioon otsib ja leiab sageli kasutatavas tehnoloogias haavatavusi. Tulemusi jagatakse esmalt teenuse või toote tarnija või arendajaga. Alles pärast plaastrit suhtleb SentinelLabs juhtumist avalikult. Oluline ettevaatusabinõu kuritarvitamise vältimiseks haavatavuse ajal.
Selle aasta alguses leidis SentinelLabs Eltima SDK-s haavatavuse. Mitmed müüjad, sealhulgas AWS, lisavad Eltima SDK oma toodetesse ja cloud teenuseid. Miljonid ülemaailmsed kasutajad puutuvad kokku Eltima SDK-ga. Nende organisatsioonid olid mitu kuud ohus.
Meetod
Üks Eltima SDK tööriistadest võimaldab ühendada kohaliku USB-seadme kaugseadmega. Näiteks virtuaalne masin AWS WorkSpacesis, üks teenustest, mida Eltima SDK kasutajatele pakub. SentinelLabs leidis turvaauke draiverites, mille kaudu Eltima SDK USB-andmed ümber suunab. Organisatsioon lõi operatsioonisüsteemi tuumas koodi käitamiseks ülevoolu.
Tagajärg
SentinelLabs kasutas haavatavate lahenduste, sealhulgas Amazon AppStream, NoMachine jaoks erinevaid meetodeid. Windows, Accops HyWorks jaoks Windows, FlexiHub ja Donglify. Risk oli iga lahenduse puhul sama. Koodi saab käitada selle operatsioonisüsteemi tuumas, milles Eltima SDK-d kasutati. Näiteks volituste andmiseks.
Accops vastas uudistele murelikele kasutajatele mõeldud KKK-lehega, nagu ka NoMachine. Kõik tarnijad, sealhulgas FlexiHub ja Donglify, parandasid tarkvara automaatselt. Kuna AWS WorkSpacesi kasutajatel on võimalus automaatset hooldust keelata, soovitab SentinelLabs klienti käsitsi värskendada.