SentinelOne-forskere har funnet en alvorlig sårbarhet i flere cloud tjenester, inkludert populære tjenester fra AWS. Trusselen har siden blitt lappet.
SentinelLabs er en utvidelse av sikkerhetsorganisasjonen SentinelOne. Organisasjonen leter etter og finner sårbarheter i vanlig brukt teknologi. Funnene deles først med leverandøren eller utvikleren av en tjeneste eller et produkt. Først etter en oppdatering kommuniserer SentinelLabs åpent om en hendelse. En viktig forholdsregel for å forhindre misbruk under sårbarheten.
Tidligere i år fant SentinelLabs en sårbarhet i Eltima SDK. Flere leverandører, inkludert AWS, innlemmer Eltima SDK i produktene sine og cloud tjenester. Millioner av globale brukere kommer i kontakt med Eltima SDK. Organisasjonene deres var utsatt i flere måneder.
Metoden
Et av verktøyene i Eltima SDK gjør det mulig å koble en lokal USB-enhet til en ekstern enhet. For eksempel en virtuell maskin i AWS WorkSpaces, en av tjenestene som Eltima SDK tilbyr brukere. SentinelLabs fant sårbarheter i driverne som Eltima SDK omdirigerer USB-data gjennom. Organisasjonen opprettet et overløp for å kjøre kode i kjernen til et operativsystem.
Konsekvensen
SentinelLabs brukte forskjellige metoder for de ulike løsningene som ble funnet å være sårbare, inkludert Amazon AppStream, NoMachine for Windows, Accops HyWorks for Windows, FlexiHub og Donglify. Risikoen var den samme for hver løsning. Kode kunne kjøres på kjernen til operativsystemet som Eltima SDK ble brukt på. For eksempel å gi autorisasjon.
Accops svarte på nyhetene med en FAQ-side for bekymrede brukere, det samme gjorde NoMachine. Hver leverandør, inkludert FlexiHub og Donglify, lappet programvaren automatisk. Siden AWS WorkSpaces-brukere har muligheten til å deaktivere automatisk vedlikehold, anbefaler SentinelLabs at de oppdaterer klienten manuelt.