חוקרי SentinelOne מצאו פגיעות רצינית במספר cloud שירותים, כולל שירותים פופולריים מ-AWS. האיום תוקן מאז.
SentinelLabs היא הרחבה של ארגון האבטחה SentinelOne. הארגון מחפש ומוצא נקודות תורפה בטכנולוגיה הנפוצה. הממצאים משותפים תחילה עם הספק או המפתח של שירות או מוצר. רק לאחר תיקון, SentinelLabs מתקשר בגלוי על תקרית. אמצעי זהירות חשוב למניעת התעללות במהלך הפגיעות.
מוקדם יותר השנה, SentinelLabs מצאה פגיעות ב-Eltima SDK. ספקים מרובים, כולל AWS, משלבים את Eltima SDK במוצרים שלהם cloud שירותים. מיליוני משתמשים גלובליים באים במגע עם Eltima SDK. הארגונים שלהם היו בסיכון במשך חודשים.
השיטה
אחד הכלים ב-Eltima SDK מאפשר לשרשר ב-Daisy-chain התקן USB מקומי למכשיר מרוחק. לדוגמה, מכונה וירטואלית ב-AWS WorkSpaces, אחד השירותים ש-Eltima SDK מציעה למשתמשים. SentinelLabs מצא נקודות תורפה במנהלי התקנים שדרכם Eltima SDK מפנה נתוני USB. הארגון יצר הצפה להפעלת קוד בליבה של מערכת הפעלה.
ההשלכה
SentinelLabs השתמשה בשיטות שונות עבור הפתרונות השונים שנמצאו כפגיעים, כולל Amazon AppStream, NoMachine עבור Windows, Accops HyWorks עבור Windows, FlexiHub ו-Donglify. הסיכון היה זהה לכל פתרון. ניתן להריץ קוד על הליבה של מערכת ההפעלה שבה נעשה שימוש ב-Eltima SDK. למשל, להעניק אישור.
Accops הגיבה לחדשות עם דף שאלות נפוצות עבור משתמשים מודאגים, וכך גם NoMachine. כל ספק, כולל FlexiHub ו-Donglify, תיקן את התוכנה באופן אוטומטי. מכיוון שלמשתמשי AWS WorkSpaces יש אפשרות להשבית תחזוקה אוטומטית, SentinelLabs ממליצה לעדכן את הלקוח באופן ידני.