I ricercatori di SentinelOne hanno riscontrato una grave vulnerabilità in più cloud servizi, inclusi i servizi più diffusi di AWS. Da allora la minaccia è stata rattoppata.
SentinelLabs è un'estensione dell'organizzazione di sicurezza SentinelOne. L'organizzazione cerca e trova vulnerabilità nella tecnologia comunemente usata. I risultati vengono prima condivisi con il fornitore o lo sviluppatore di un servizio o prodotto. Solo dopo una patch SentinelLabs comunica apertamente di un incidente. Una precauzione importante per prevenire abusi durante la vulnerabilità.
All'inizio di quest'anno, SentinelLabs ha rilevato una vulnerabilità in Eltima SDK. Diversi fornitori, incluso AWS, incorporano Eltima SDK nei loro prodotti e cloud Servizi. Milioni di utenti globali entrano in contatto con Eltima SDK. Le loro organizzazioni sono state a rischio per mesi.
Il metodo
Uno degli strumenti di Eltima SDK consente di collegare in cascata un dispositivo USB locale a un dispositivo remoto. Ad esempio, una macchina virtuale in AWS WorkSpaces, uno dei servizi che Eltima SDK offre agli utenti. SentinelLabs ha rilevato delle vulnerabilità nei driver attraverso i quali Eltima SDK reindirizza i dati USB. L'organizzazione ha creato un overflow per eseguire codice nel kernel di un sistema operativo.
La conseguenza
SentinelLabs ha utilizzato metodi diversi per le varie soluzioni ritenute vulnerabili, tra cui Amazon AppStream, NoMachine for Windows, per Accops HyWorks Windows, FlexiHub e Donglify. Il rischio era lo stesso per ogni soluzione. Il codice potrebbe essere eseguito sul kernel del sistema operativo su cui è stato utilizzato Eltima SDK. Ad esempio, per concedere l'autorizzazione.
Accops ha risposto alla notizia con una pagina delle domande frequenti per gli utenti interessati, così come NoMachine. Tutti i fornitori, inclusi FlexiHub e Donglify, hanno applicato automaticamente le patch al software. Poiché gli utenti di AWS WorkSpaces hanno la possibilità di disabilitare la manutenzione automatica, SentinelLabs consiglia di aggiornare il client manualmente.