Cercetătorii SentinelOne au descoperit o vulnerabilitate gravă în mai multe cloud servicii, inclusiv servicii populare de la AWS. Amenințarea a fost remediată de atunci.
SentinelLabs este o extensie a organizației de securitate SentinelOne. Organizația caută și găsește vulnerabilități în tehnologia utilizată în mod obișnuit. Constatările sunt mai întâi împărtășite cu furnizorul sau dezvoltatorul unui serviciu sau produs. Numai după un patch SentinelLabs comunică deschis despre un incident. O precauție importantă pentru a preveni abuzul în timpul vulnerabilității.
La începutul acestui an, SentinelLabs a găsit o vulnerabilitate în Eltima SDK. Mai mulți furnizori, inclusiv AWS, încorporează Eltima SDK în produsele lor și cloud Servicii. Milioane de utilizatori globali intră în contact cu Eltima SDK. Organizațiile lor au fost în pericol de luni de zile.
Metoda
Unul dintre instrumentele din Eltima SDK face posibilă conectarea în lanț a unui dispozitiv USB local la un dispozitiv la distanță. De exemplu, o mașină virtuală din AWS WorkSpaces, unul dintre serviciile pe care Eltima SDK le oferă utilizatorilor. SentinelLabs a găsit vulnerabilități în driverele prin care Eltima SDK redirecționează datele USB. Organizația a creat un overflow pentru a rula cod în nucleul unui sistem de operare.
Consecința
SentinelLabs a folosit diferite metode pentru diferitele soluții considerate vulnerabile, inclusiv Amazon AppStream, NoMachine pentru Windows, Accops HyWorks pentru Windows, FlexiHub și Donglify. Riscul a fost același pentru fiecare soluție. Codul ar putea fi rulat pe nucleul sistemului de operare pe care a fost folosit Eltima SDK. De exemplu, pentru a acorda autorizație.
Accops a răspuns la știri cu o pagină de întrebări frecvente pentru utilizatorii în cauză, la fel ca și NoMachine. Fiecare furnizor, inclusiv FlexiHub și Donglify, a corectat software-ul automat. Deoarece utilizatorii AWS WorkSpaces au opțiunea de a dezactiva întreținerea automată, SentinelLabs recomandă să actualizeze clientul manual.