Os investigadores de SentinelOne atoparon unha grave vulnerabilidade en múltiples cloud servizos, incluídos os servizos populares de AWS. Desde entón, a ameaza foi remendada.
SentinelLabs é unha extensión da organización de seguridade SentinelOne. A organización busca e atopa vulnerabilidades na tecnoloxía de uso común. Os achados compártense primeiro co provedor ou desenvolvedor dun servizo ou produto. Só despois dun parche SentinelLabs se comunica abertamente sobre un incidente. Unha precaución importante para evitar abusos durante a vulnerabilidade.
A principios deste ano, SentinelLabs atopou unha vulnerabilidade no Eltima SDK. Varios provedores, incluído AWS, incorporan Eltima SDK aos seus produtos e cloud Servizos. Millóns de usuarios globais entran en contacto con Eltima SDK. As súas organizacións estiveron en risco durante meses.
O método
Unha das ferramentas de Eltima SDK fai posible conectar en cadea un dispositivo USB local a un dispositivo remoto. Por exemplo, unha máquina virtual en AWS WorkSpaces, un dos servizos que Eltima SDK ofrece aos usuarios. SentinelLabs atopou vulnerabilidades nos controladores a través dos cales Eltima SDK redirixe os datos USB. A organización creou un desbordamento para executar código no núcleo dun sistema operativo.
A consecuencia
SentinelLabs utilizou diferentes métodos para as diversas solucións que se atopaban vulnerables, incluíndo Amazon AppStream, NoMachine para Windows, Accops HyWorks para Windows, FlexiHub e Donglify. O risco era o mesmo para cada solución. O código podería executarse no núcleo do sistema operativo no que se utilizou Eltima SDK. Por exemplo, para conceder autorización.
Accops respondeu á noticia cunha páxina de preguntas frecuentes para os usuarios preocupados, do mesmo xeito que NoMachine. Todos os provedores, incluídos FlexiHub e Donglify, parchearon o software automaticamente. Dado que os usuarios de AWS WorkSpaces teñen a opción de desactivar o mantemento automático, SentinelLabs recomenda que actualicen o cliente manualmente.