SentinelOne 研究人员在多个 cloud 服务,包括来自 AWS 的流行服务。 此后,威胁已得到修补。
SentinelLabs 是安全组织 SentinelOne 的扩展。 该组织寻找并发现常用技术中的漏洞。 调查结果首先与服务或产品的供应商或开发商共享。 只有在补丁发布后,SentinelLabs 才会公开交流有关事件的信息。 防止漏洞期间滥用的重要预防措施。
今年早些时候,SentinelLabs 在 Eltima SDK 中发现了一个漏洞。 包括 AWS 在内的多家供应商将 Eltima SDK 集成到他们的产品中,并 cloud 服务。 数以百万计的全球用户接触到 Eltima SDK。 他们的组织几个月来都处于危险之中。
该方法
Eltima SDK 中的一种工具可以将本地 USB 设备以菊花链方式连接到远程设备。 例如,AWS WorkSpaces 中的虚拟机,这是 Eltima SDK 向用户提供的服务之一。 SentinelLabs 在 Eltima SDK 重定向 USB 数据的驱动程序中发现了漏洞。 该组织创建了一个溢出来在操作系统内核中运行代码。
结果
SentinelLabs 对各种易受攻击的解决方案使用了不同的方法,包括 Amazon AppStream、NoMachine for Windows, Accops HyWorks 为 Windows、FlexiHub 和 Donglify。 每种解决方案的风险相同。 代码可以在使用 Eltima SDK 的操作系统的内核上运行。 例如,授予授权。
与 NoMachine 一样,Accops 为相关用户提供了一个常见问题解答页面来回应这一消息。 每个供应商,包括 FlexiHub 和 Donglify,都会自动修补软件。 由于 AWS WorkSpaces 用户可以选择禁用自动维护,因此 SentinelLabs 建议他们手动更新客户端。