Исследователи SentinelOne обнаружили серьезную уязвимость в нескольких cloud сервисы, в том числе популярные сервисы от AWS. С тех пор угроза была исправлена.
SentinelLabs является расширением организации безопасности SentinelOne. Организация ищет и находит уязвимости в широко используемых технологиях. Выводы сначала сообщаются поставщику или разработчику услуги или продукта. Только после исправления SentinelLabs открыто сообщает об инциденте. Важная мера предосторожности для предотвращения злоупотреблений во время уязвимости.
Ранее в этом году SentinelLabs обнаружила уязвимость в Eltima SDK. Многие поставщики, в том числе AWS, включают Eltima SDK в свои продукты и cloud Сервисы. Миллионы пользователей по всему миру вступают в контакт с Eltima SDK. Их организации месяцами находились в опасности.
Способ
Один из инструментов Eltima SDK позволяет последовательно подключать локальное USB-устройство к удаленному устройству. Например, виртуальная машина в AWS WorkSpaces, один из сервисов, которые Eltima SDK предлагает пользователям. SentinelLabs обнаружила уязвимости в драйверах, через которые Eltima SDK перенаправляет данные USB. Организация создала переполнение для запуска кода в ядре операционной системы.
Следствие
SentinelLabs использовала разные методы для различных решений, которые были признаны уязвимыми, включая Amazon AppStream, NoMachine для Windows, согласно HyWorks для Windows, FlexiHub и Donglify. Риск был одинаковым для каждого решения. Код можно было запускать на ядре операционной системы, в которой использовался Eltima SDK. Например, для предоставления авторизации.
Accops отреагировал на новость страницей часто задаваемых вопросов для заинтересованных пользователей, как и NoMachine. Все поставщики, включая FlexiHub и Donglify, автоматически исправили программное обеспечение. Поскольку у пользователей AWS WorkSpaces есть возможность отключить автоматическое обслуживание, SentinelLabs рекомендует обновлять клиент вручную.