Výskumníci SentinelOne našli vážnu zraniteľnosť vo viacerých cloud služby vrátane obľúbených služieb od AWS. Hrozba bola odvtedy opravená.
SentinelLabs je rozšírením bezpečnostnej organizácie SentinelOne. Organizácia hľadá a nachádza zraniteľné miesta v bežne používanej technológii. Zistenia sa najprv zdieľajú s dodávateľom alebo vývojárom služby alebo produktu. Až po oprave SentinelLabs otvorene komunikuje o incidente. Dôležité opatrenie na zabránenie zneužitia počas zraniteľnosti.
Začiatkom tohto roka SentinelLabs našli zraniteľnosť v Eltima SDK. Viacerí predajcovia, vrátane AWS, začleňujú Eltima SDK do svojich produktov a cloud služby. S Eltima SDK prichádzajú do kontaktu milióny používateľov na celom svete. Ich organizácie boli celé mesiace ohrozené.
Metóda
Jeden z nástrojov v Eltima SDK umožňuje prepojiť lokálne USB zariadenie so vzdialeným zariadením. Napríklad virtuálny stroj v AWS WorkSpaces, jednej zo služieb, ktoré Eltima SDK ponúka používateľom. SentinelLabs našli slabé miesta v ovládačoch, cez ktoré Eltima SDK presmeruje dáta USB. Organizácia vytvorila pretečenie na spustenie kódu v jadre operačného systému.
Dôsledok
SentinelLabs používali rôzne metódy pre rôzne riešenia, o ktorých sa zistilo, že sú zraniteľné, vrátane Amazon AppStream, NoMachine pre Windows, Prijíma HyWorks pre Windows, FlexiHub a Donglify. Riziko bolo rovnaké pre každé riešenie. Kód bolo možné spustiť na jadre operačného systému, na ktorom bola použitá Eltima SDK. Napríklad na udelenie oprávnenia.
Accops reagoval na novinky stránkou s často kladenými otázkami pre zainteresovaných používateľov, rovnako ako NoMachine. Každý dodávateľ, vrátane FlexiHub a Donglify, opravoval softvér automaticky. Keďže používatelia AWS WorkSpaces majú možnosť vypnúť automatickú údržbu, SentinelLabs odporúča aktualizovať klienta manuálne.