SentinelOne 研究人員在多個 cloud 服務,包括來自 AWS 的流行服務。 此後,威脅已得到修補。
SentinelLabs 是安全組織 SentinelOne 的擴展。 該組織尋找並發現常用技術中的漏洞。 調查結果首先與服務或產品的供應商或開發商共享。 只有在補丁發布後,SentinelLabs 才會公開交流有關事件的信息。 防止漏洞期間濫用的重要預防措施。
今年早些時候,SentinelLabs 在 Eltima SDK 中發現了一個漏洞。 包括 AWS 在內的多家供應商將 Eltima SDK 集成到他們的產品中,並 cloud 服務。 數以百萬計的全球用戶接觸到 Eltima SDK。 他們的組織幾個月來都處於危險之中。
方法
Eltima SDK 中的一種工具可以將本地 USB 設備以菊花鏈方式連接到遠程設備。 例如,AWS WorkSpaces 中的虛擬機,這是 Eltima SDK 向用戶提供的服務之一。 SentinelLabs 在 Eltima SDK 重定向 USB 數據的驅動程序中發現了漏洞。 該組織創建了一個溢出來在操作系統內核中運行代碼。
結果
SentinelLabs 對各種易受攻擊的解決方案使用了不同的方法,包括 Amazon AppStream、NoMachine for Windows, Accops HyWorks 為 Windows、FlexiHub 和 Donglify。 每種解決方案的風險相同。 代碼可以在使用 Eltima SDK 的操作系統的內核上運行。 例如,授予授權。
與 NoMachine 一樣,Accops 為相關用戶提供了一個常見問題解答頁面來回應這一消息。 每個供應商,包括 FlexiHub 和 Donglify,都會自動修補軟件。 由於 AWS WorkSpaces 用戶可以選擇禁用自動維護,因此 SentinelLabs 建議他們手動更新客戶端。