Các nhà nghiên cứu của SentinelOne đã tìm thấy một lỗ hổng nghiêm trọng trong nhiều cloud các dịch vụ, bao gồm cả các dịch vụ phổ biến từ AWS. Mối đe dọa từ đó đã được vá.
SentinelLabs là một phần mở rộng của tổ chức bảo mật SentinelOne. Tổ chức tìm kiếm và phát hiện các lỗ hổng trong công nghệ thường được sử dụng. Các phát hiện trước tiên được chia sẻ với nhà cung cấp hoặc nhà phát triển của một dịch vụ hoặc sản phẩm. Chỉ sau một bản vá, SentinelLabs mới công khai giao tiếp về một sự cố. Một biện pháp phòng ngừa quan trọng để ngăn chặn việc lạm dụng trong thời gian dễ bị tổn thương.
Đầu năm nay, SentinelLabs đã tìm thấy một lỗ hổng trong Eltima SDK. Nhiều nhà cung cấp, bao gồm AWS, kết hợp Eltima SDK vào các sản phẩm của họ và cloud dịch vụ. Hàng triệu người dùng toàn cầu tiếp xúc với Eltima SDK. Các tổ chức của họ đã gặp rủi ro trong nhiều tháng.
Phương pháp này
Một trong những công cụ trong Eltima SDK giúp bạn có thể nối chuỗi một thiết bị USB cục bộ với một thiết bị từ xa. Ví dụ, một máy ảo trong AWS WorkSpaces, một trong những dịch vụ mà Eltima SDK cung cấp cho người dùng. SentinelLabs đã tìm thấy lỗ hổng trong trình điều khiển mà qua đó Eltima SDK chuyển hướng dữ liệu USB. Tổ chức đã tạo một lỗi tràn để chạy mã trong nhân của hệ điều hành.
Hậu quả
SentinelLabs đã sử dụng các phương pháp khác nhau cho các giải pháp khác nhau được phát hiện là dễ bị tấn công, bao gồm Amazon AppStream, NoMachine cho Windows, Accops HyWorks cho Windows, FlexiHub và Donglify. Rủi ro là như nhau đối với mỗi giải pháp. Mã có thể được chạy trên hạt nhân của hệ điều hành mà Eltima SDK được sử dụng. Ví dụ, để cấp quyền.
Accops đã phản hồi tin tức bằng trang Câu hỏi thường gặp dành cho những người dùng có liên quan, NoMachine cũng vậy. Mọi nhà cung cấp, bao gồm cả FlexiHub và Donglify, đều tự động vá phần mềm. Vì người dùng AWS WorkSpaces có tùy chọn tắt tính năng bảo trì tự động, nên SentinelLabs khuyên họ nên cập nhật ứng dụng khách theo cách thủ công.