A SentinelOne kutatói többben is komoly sebezhetőséget találtak cloud szolgáltatások, köztük az AWS népszerű szolgáltatásai. A fenyegetést azóta elfojtották.
A SentinelLabs a SentinelOne biztonsági szervezet kiterjesztése. A szervezet az általánosan használt technológia sebezhetőségeit keresi és találja meg. Az eredményeket először megosztják a szolgáltatás vagy termék szállítójával vagy fejlesztőjével. A SentinelLabs csak a javítás után kommunikál nyíltan egy eseményről. Fontos óvintézkedés a sérülékenység alatti visszaélések megelőzésére.
Az év elején a SentinelLabs biztonsági rést talált az Eltima SDK-ban. Számos szállító, köztük az AWS, beépíti az Eltima SDK-t termékeibe és cloud szolgáltatások. Globális felhasználók milliói kerülnek kapcsolatba az Eltima SDK-val. Szervezeteik hónapokig veszélyben voltak.
A módszer
Az Eltima SDK egyik eszköze lehetővé teszi egy helyi USB-eszköz távoli eszközhöz való láncolását. Például egy virtuális gép az AWS WorkSpacesben, amely az Eltima SDK által a felhasználók számára kínált szolgáltatások egyike. A SentinelLabs sebezhetőséget talált azokban az illesztőprogramokban, amelyeken keresztül az Eltima SDK átirányítja az USB-adatokat. A szervezet túlcsordulást hozott létre a kód futtatásához az operációs rendszer kernelében.
A következmény
A SentinelLabs különböző módszereket alkalmazott a sebezhetőnek talált különféle megoldásokhoz, köztük az Amazon AppStream, a NoMachine for Windows, Accops HyWorks for Windows, FlexiHub és Donglify. A kockázat minden megoldásnál azonos volt. A kód futtatható annak az operációs rendszernek a kernelén, amelyen az Eltima SDK-t használták. Például engedély megadására.
Az Accops egy GYIK oldallal válaszolt a hírre az érintett felhasználók számára, akárcsak a NoMachine. Minden szállító, köztük a FlexiHub és a Donglify, automatikusan javította a szoftvert. Mivel az AWS WorkSpaces felhasználóinak lehetőségük van letiltani az automatikus karbantartást, a SentinelLabs azt javasolja, hogy manuálisan frissítsék az ügyfelet.