SentinelOne-tutkijat ovat löytäneet vakavan haavoittuvuuden useissa cloud palvelut, mukaan lukien AWS:n suositut palvelut. Uhka on sittemmin korjattu.
SentinelLabs on SentinelOne-tietoturvaorganisaation laajennus. Organisaatio etsii ja löytää haavoittuvuuksia yleisesti käytetystä teknologiasta. Havainnot jaetaan ensin palvelun tai tuotteen toimittajalle tai kehittäjälle. Vasta korjaustiedoston jälkeen SentinelLabs kommunikoi avoimesti tapauksesta. Tärkeä varotoimenpide väärinkäytösten estämiseksi haavoittuvuuden aikana.
Aiemmin tänä vuonna SentinelLabs löysi haavoittuvuuden Eltima SDK:sta. Useat toimittajat, mukaan lukien AWS, sisällyttävät Eltima SDK:n tuotteisiinsa ja cloud palvelut. Miljoonat maailmanlaajuiset käyttäjät ovat tekemisissä Eltima SDK:n kanssa. Heidän organisaationsa olivat vaarassa kuukausia.
Menetelmä
Yksi Eltima SDK:n työkaluista mahdollistaa paikallisen USB-laitteen ketjuttamisen etälaitteeseen. Esimerkiksi virtuaalikone AWS WorkSpacesissa, joka on yksi Eltima SDK:n käyttäjille tarjoamista palveluista. SentinelLabs löysi haavoittuvuuksia ohjaimissa, joiden kautta Eltima SDK ohjaa USB-dataa. Organisaatio loi ylivuodon koodin suorittamiseksi käyttöjärjestelmän ytimessä.
Seurauksena
SentinelLabs käytti erilaisia menetelmiä haavoittuviksi havaittuihin ratkaisuihin, mukaan lukien Amazon AppStream, NoMachine for Windows, Accops HyWorks for Windows, FlexiHub ja Donglify. Riski oli sama jokaisessa ratkaisussa. Koodia voitiin ajaa sen käyttöjärjestelmän ytimessä, jossa Eltima SDK:ta käytettiin. Esimerkiksi luvan myöntämiseen.
Accops vastasi uutisiin huolestuneiden käyttäjien UKK-sivulla, kuten myös NoMachine. Jokainen toimittaja, mukaan lukien FlexiHub ja Donglify, korjasi ohjelmiston automaattisesti. Koska AWS WorkSpaces -käyttäjillä on mahdollisuus poistaa automaattinen ylläpito käytöstä, SentinelLabs suosittelee asiakkaan päivittämistä manuaalisesti.