SentinelOne-forskare har hittat en allvarlig sårbarhet i flera cloud tjänster, inklusive populära tjänster från AWS. Hotet har sedan lappats.
SentinelLabs är en förlängning av säkerhetsorganisationen SentinelOne. Organisationen letar efter och hittar sårbarheter i vanlig teknik. Resultaten delas först med leverantören eller utvecklaren av en tjänst eller produkt. Först efter en patch kommunicerar SentinelLabs öppet om en incident. En viktig försiktighetsåtgärd för att förhindra missbruk under sårbarheten.
Tidigare i år hittade SentinelLabs en sårbarhet i Eltima SDK. Flera leverantörer, inklusive AWS, införlivar Eltima SDK i sina produkter och cloud tjänster. Miljontals globala användare kommer i kontakt med Eltima SDK. Deras organisationer var i riskzonen i månader.
Metoden
Ett av verktygen i Eltima SDK gör det möjligt att seriekoppla en lokal USB-enhet till en fjärrenhet. Till exempel en virtuell maskin i AWS WorkSpaces, en av tjänsterna som Eltima SDK erbjuder användarna. SentinelLabs hittade sårbarheter i drivrutinerna genom vilka Eltima SDK omdirigerar USB-data. Organisationen skapade ett spill för att köra kod i kärnan i ett operativsystem.
Konsekvensen
SentinelLabs använde olika metoder för de olika lösningar som befunnits vara sårbara, inklusive Amazon AppStream, NoMachine för Windows, Acops HyWorks för Windows, FlexiHub och Donglify. Risken var densamma för varje lösning. Kod kunde köras på kärnan i operativsystemet där Eltima SDK användes. Till exempel för att ge auktorisation.
Accops svarade på nyheterna med en FAQ-sida för berörda användare, liksom NoMachine. Varje leverantör, inklusive FlexiHub och Donglify, patchade programvaran automatiskt. Eftersom AWS WorkSpaces-användare har möjlighet att inaktivera automatiskt underhåll, rekommenderar SentinelLabs att de uppdaterar klienten manuellt.