Peneliti SentinelOne telah menemukan kerentanan serius di beberapa cloud layanan, termasuk layanan populer dari AWS. Ancaman sejak itu telah ditambal.
SentinelLabs adalah perpanjangan dari organisasi keamanan SentinelOne. Organisasi mencari dan menemukan kerentanan dalam teknologi yang umum digunakan. Temuan pertama dibagikan dengan pemasok atau pengembang layanan atau produk. Hanya setelah tambalan, SentinelLabs secara terbuka mengomunikasikan tentang suatu insiden. Tindakan pencegahan penting untuk mencegah penyalahgunaan selama kerentanan.
Awal tahun ini, SentinelLabs menemukan kerentanan di Eltima SDK. Beberapa vendor, termasuk AWS, menggabungkan Eltima SDK ke dalam produk mereka dan cloud jasa. Jutaan pengguna global melakukan kontak dengan Eltima SDK. Organisasi mereka terancam selama berbulan-bulan.
Metode
Salah satu alat di Eltima SDK memungkinkan untuk melakukan daisy-chain perangkat USB lokal ke perangkat jarak jauh. Misalnya, mesin virtual di AWS WorkSpaces, salah satu layanan yang ditawarkan Eltima SDK kepada pengguna. SentinelLabs menemukan kerentanan pada driver yang digunakan Eltima SDK untuk mengalihkan data USB. Organisasi membuat overflow untuk menjalankan kode di kernel sistem operasi.
Konsekuensinya
SentinelLabs menggunakan metode berbeda untuk berbagai solusi yang ditemukan rentan, termasuk Amazon AppStream, NoMachine for Windows, Menyetujui HyWorks untuk Windows, FlexiHub dan Donglify. Risikonya sama untuk setiap solusi. Kode dapat dijalankan di kernel sistem operasi tempat Eltima SDK digunakan. Misalnya, untuk memberikan otorisasi.
Acops menanggapi berita tersebut dengan halaman FAQ untuk pengguna yang bersangkutan, seperti yang dilakukan NoMachine. Setiap pemasok, termasuk FlexiHub dan Donglify, menambal perangkat lunak secara otomatis. Karena pengguna AWS WorkSpaces memiliki opsi untuk menonaktifkan pemeliharaan otomatis, SentinelLabs merekomendasikan agar mereka memperbarui klien secara manual.