Badacze SentinelOne odkryli poważną lukę w wielu cloud usługi, w tym popularne usługi AWS. Zagrożenie zostało już załatane.
SentinelLabs jest rozszerzeniem organizacji bezpieczeństwa SentinelOne. Organizacja poszukuje i znajduje luki w powszechnie używanej technologii. Ustalenia są najpierw udostępniane dostawcy lub deweloperowi usługi lub produktu. Dopiero po wprowadzeniu poprawki SentinelLabs otwarcie informuje o incydencie. Ważny środek ostrożności zapobiegający nadużyciom podczas luki.
Na początku tego roku SentinelLabs znalazł lukę w Eltima SDK. Wielu dostawców, w tym AWS, włącza Eltima SDK do swoich produktów i cloud usługi. Miliony użytkowników na całym świecie mają kontakt z pakietem Eltima SDK. Ich organizacje były zagrożone od miesięcy.
Sposób
Jedno z narzędzi w Eltima SDK umożliwia łańcuchowe łączenie lokalnego urządzenia USB z urządzeniem zdalnym. Na przykład maszyna wirtualna w AWS WorkSpaces, jedna z usług oferowanych użytkownikom przez pakiet Eltima SDK. SentinelLabs znalazł luki w sterownikach, przez które pakiet Eltima SDK przekierowuje dane USB. Organizacja stworzyła przepełnienie, aby uruchomić kod w jądrze systemu operacyjnego.
Konsekwencja
SentinelLabs zastosował różne metody dla różnych rozwiązań uznanych za podatne na ataki, w tym Amazon AppStream, NoMachine for Windows, Współpracuje z HyWorks za Windows, FlexiHub i Donglify. Ryzyko było takie samo dla każdego rozwiązania. Kod można uruchomić na jądrze systemu operacyjnego, w którym użyto Eltima SDK. Na przykład, aby udzielić autoryzacji.
Accops odpowiedział na wiadomości za pomocą strony z najczęściej zadawanymi pytaniami dla zainteresowanych użytkowników, podobnie jak NoMachine. Każdy dostawca, w tym FlexiHub i Donglify, automatycznie łatał oprogramowanie. Ponieważ użytkownicy AWS WorkSpaces mają możliwość wyłączenia automatycznej konserwacji, SentinelLabs zaleca ręczne aktualizowanie klienta.