SentinelOne tyrėjai aptiko rimtą pažeidžiamumą daugelyje cloud paslaugas, įskaitant populiarias AWS paslaugas. Nuo to laiko grėsmė buvo pašalinta.
„SentinelLabs“ yra saugos organizacijos „SentinelOne“ plėtinys. Organizacija ieško ir randa dažniausiai naudojamų technologijų pažeidžiamumą. Išvadomis pirmiausia dalijamasi su paslaugos ar produkto tiekėju arba kūrėju. Tik po pataisos „SentinelLabs“ atvirai praneša apie incidentą. Svarbi atsargumo priemonė siekiant išvengti piktnaudžiavimo pažeidžiamumo metu.
Anksčiau šiais metais „SentinelLabs“ aptiko „Eltima SDK“ pažeidžiamumą. Keli pardavėjai, įskaitant AWS, įtraukia Eltima SDK į savo produktus ir cloud paslaugos. Milijonai pasaulio vartotojų susisiekia su Eltima SDK. Jų organizacijoms iškilo pavojus kelis mėnesius.
Metodas
Vienas iš Eltima SDK įrankių leidžia sujungti vietinį USB įrenginį prie nuotolinio įrenginio. Pavyzdžiui, virtuali mašina AWS WorkSpaces, viena iš paslaugų, kurias Eltima SDK siūlo vartotojams. „SentinelLabs“ aptiko spragų tvarkyklėse, per kurias „Eltima SDK“ peradresuoja USB duomenis. Organizacija sukūrė perpildymą, kad galėtų paleisti kodą operacinės sistemos branduolyje.
Pasekmė
„SentinelLabs“ naudojo skirtingus metodus įvairiems sprendimams, kurie buvo pripažinti pažeidžiamais, įskaitant „Amazon AppStream“, „NoMachine“ Windows, Accops HyWorks for Windows, FlexiHub ir Donglify. Rizika buvo vienoda kiekvienam sprendimui. Kodas gali būti paleistas operacinės sistemos, kurioje buvo naudojamas Eltima SDK, branduolyje. Pavyzdžiui, suteikti leidimą.
„Accops“, kaip ir „NoMachine“, į naujienas atsakė susirūpinusiems vartotojams skirtu DUK puslapiu. Kiekvienas tiekėjas, įskaitant „FlexiHub“ ir „Donglify“, automatiškai pataisė programinę įrangą. Kadangi AWS WorkSpaces vartotojai turi galimybę išjungti automatinę priežiūrą, SentinelLabs rekomenduoja atnaujinti klientą rankiniu būdu.