Onderzoekers van SentinelOne hebben een ernstige kwetsbaarheid in meerdere clouddiensten gevonden, waaronder populaire services van AWS. De dreiging is inmiddels gepatcht.
SentinelLabs is een verlengstuk van securityorganisatie SentinelOne. De organisatie zoekt en vindt kwetsbaarheden in veelgebruikte technologie. Bevindingen worden allereerst met de leverancier of ontwikkelaar van een dienst of product gedeeld. Pas na een patch communiceert SentinelLabs openlijk over een voorval. Een belangrijke voorzorgsmaatregel om misbruik gedurende de kwetsbaarheid tegen te gaan.
Eerder dit jaar vond SentinelLabs een kwetsbaarheid in Eltima SDK. Meerdere leveranciers, waaronder AWS, verwerken Eltima SDK in hun producten en clouddiensten. Miljoenen wereldwijde gebruikers komen met Eltima SDK in aanraking. Hun organisaties liepen maandenlang risico.
De methode
Een van de tools in Eltima SDK maakt het mogelijk om een plaatselijk USB-apparaat naar een apparaat op afstand door te verbinden. Bijvoorbeeld een virtuele machine in AWS WorkSpaces, een van de diensten die Eltima SDK aanbiedt bij gebruikers. SentinelLabs vond kwetsbaarheden in de drivers waarmee Eltima SDK USB-gegevens doorverwijst. De organisatie creëerde een overflow om code in de kernel van een besturingssystemen uit te kunnen voeren.
Het gevolg
SentinelLabs gebruikte verschillende methoden voor de verschillende oplossingen die kwetsbaar zijn bevonden, waaronder Amazon AppStream, NoMachine for Windows, Accops HyWorks for Windows, FlexiHub en Donglify. Het risico was voor elke oplossing gelijk. Code kon uitgevoerd worden op de kernel van het besturingssysteem waarop Eltima SDK werd gebruikt. Bijvoorbeeld om machtiging toe te bedelen.
Accops reageerde op het nieuws met een FAQ-pagina voor ongeruste gebruikers, net als NoMachine. Elke leverancier, ook FlexiHub en Donglify, patchte de software automatisch. Omdat gebruikers van AWS WorkSpaces de mogelijkheid hebben om automatisch onderhoud uit te schakelen, adviseert SentinelLabs hen om de client handmatig te updaten.
Tip: SentinelOne zet kwetsbaarheden in Oracle VirtualBox uiteen
1 uur geleden
