AWS, otros servicios en la nube afectados por defectos en Eltima SDK - Calendae | Informática, Electrónica, CMS, Ciberseguridad

AWS, otros servicios en la nube afectados por defectos en Eltima SDK

Hola, un placer verte por aquí. Yo soy Eduardo Arroyo y en el día de hoy te voy a hablar sobre AWS, otros servicios en la nube afectados por defectos en Eltima SDK

AWS entre los 12 servicios en la nube afectados por fallas de Eltima SDK

Las fallas, que podrían permitir a los atacantes deshabilitar la seguridad y obtener privilegios de nivel de kernel, afectan a Amazon WorkSpaces y otros servicios en la nube que usan USB a través de Ethernet.

Los investigadores encontraron una serie de vulnerabilidades de alta seguridad en una biblioteca creada por la empresa de virtualización de redes Eltima, que deja alrededor de una docena de servicios en la nube utilizados por millones de usuarios en todo el mundo abiertos a ataques de escalada de privilegios.

Esto incluye Amazon WorkSpaces, Accops y NoMachine, entre otros: todas las aplicaciones que permiten el acceso al escritorio remoto utilizando el Software Development Kit (SDK) de Eltima para habilitar el «USB a través de Ethernet«Producto. USB Over Ethernet permite compartir varios dispositivos USB a través de Ethernet, de modo que los usuarios pueden conectarse a dispositivos como cámaras web en máquinas remotas en cualquier parte del mundo como si los dispositivos estuvieran conectados físicamente a sus propias computadoras.

Las fallas están en la función USB Over Ethernet de Eltima SDK, no en los servicios en la nube en sí mismos, pero debido al intercambio de código entre el lado del servidor y las aplicaciones del usuario final, afecta a ambos clientes, como computadoras portátiles y de escritorio que ejecutan Amazon WorkSpaces en la nube. instancias de máquinas y software basados ​​en servicios como Amazon Nimble Studio AMI, que se ejecutan en la nube de Amazon.

Las fallas permiten a los atacantes aumentar los privilegios para que puedan lanzar una variedad de acciones maliciosas, incluida la eliminación de los mismos productos de seguridad de los que los usuarios dependen para su protección. Específicamente, las vulnerabilidades se pueden usar para «deshabilitar productos de seguridad, sobrescribir componentes del sistema, corromper el sistema operativo o realizar operaciones maliciosas sin obstáculos», dijo el investigador senior de SentinelOne, Kasif Dekel en un relación publicado el martes.

SentinelOne ha rastreado vulnerabilidades a dos controladores responsables de la redirección USB, «wspvuhub.sys» y «wspusbfilter.sys», que podrían provocar un desbordamiento del búfer que permite a un atacante aumentar los privilegios para ejecutar código arbitrario en el kernel.

Escenario de desbordamiento de búfer. Fuente: Sentine One.

«Un atacante con acceso a la red de una organización también puede obtener acceso para ejecutar código en sistemas sin parches y utilizar esta vulnerabilidad para lograr la elevación local de privilegios», señaló SentinelOne. «Los atacantes pueden utilizar otras técnicas para rotar sobre una red más grande, como el movimiento lateral».

Aún no visto en la naturaleza

La empresa de ciberseguridad no ha detectado el uso en especie de las vulnerabilidades, de las cuales hay decenas.

La empresa informó los defectos el trimestre pasado a los proveedores correspondientes y desde entonces se han corregido. La lista completa de productos afectados incluye Amazon Nimble Studio AMI, Amazon NICE DCV, Amazon WorkSpaces, Amazon AppStream, NoMachine, Accops HyWorks, Accops HyWorks DVM Tools, Eltima USB Network Gate, Amzetta zPortal Windows zClient, Amzetta zPortal DVM Tools, FlexiHub y Donglify .

Algunas de las actualizaciones se aplican automáticamente, mientras que otras requieren que los clientes tomen medidas. Comentarios de los vendedores:

La publicación de SentinelOne también incluye instrucciones sobre una actualización manual requerida en AWS para usuarios que tienen el mantenimiento deshabilitado o AlwaysOn WorkSpaces con las actualizaciones del sistema operativo deshabilitadas.

SentinelOne también recomienda «revocar cualquier credencial privilegiada distribuida a la plataforma antes de que las plataformas en la nube hayan sido parcheadas y verificar los registros de acceso en busca de irregularidades».

La punta del iceberg

Es probable que otros servicios en la nube que utilizan las mismas bibliotecas también se vean afectados, según el aviso de SentinelOne: «Si bien hemos confirmado estas vulnerabilidades para AWS, NoMachine y Accops, nuestras pruebas tenían un alcance limitado para estos proveedores y creemos que es muy probable. Los proveedores de servicios en la nube que utilizan las mismas bibliotecas serían vulnerables «, dijo la compañía.

Además, dado que SentinelOne no probó las vulnerabilidades del lado del cliente y del lado del servidor en los productos que probó, puede haber aún más vulnerabilidades en los productos de los proveedores analizados.

Los defectos en el código se propagan a través de la cadena de suministro.

Las fallas de seguridad, que también se encuentran en los derivados y variantes patentadas de Eltima SDK, fueron «heredadas sin saberlo por los clientes de la nube», escribió Dekel.

SentinelOne señaló que las vulnerabilidades en el código de terceros, como las que se encuentran en Eltima SDK, podrían extenderse por todas partes, poniendo en peligro una «enorme» cantidad de productos, sistemas y, en última instancia, usuarios, todo y todos. cadena.

Los casos recientes de vulnerabilidades de la cadena de suministro de código han incluido cuatro días cero de Microsoft en la infraestructura de gestión abierta (OMI) de la plataforma en la nube de Azure, un software que muchos ni siquiera se dan cuenta que está integrado en varios servicios, que apareció en septiembre. Apodado «OMIGOD» tanto por el nombre de la infraestructura como porque así es como reaccionaron los investigadores cuando los descubrieron, los puntos débiles demostraron ser un enorme punto ciego de seguridad.

Otro ejemplo ocurrió en junio, cuando las bombas de código de los criptomineros aparecieron en el índice de paquetes de Python (PyPI): un repositorio de código creado en el lenguaje de programación Python.

SentinelOne enfatizó la necesidad impulsada por la pandemia de adoptar nuevos modelos comerciales para apoyar al personal que trabaja desde casa (FMH) como una adición a este tipo de divulgación: «Esto ha requerido que las organizaciones utilicen varias soluciones que permitan a los empleados de la FMH acceder a los recursos y recursos de tu organización «.

El resultado ha sido un mercado en auge para los productos de la FMH, pero la seguridad «no ha evolucionado necesariamente como resultado», dice el aviso.

Imagen cortesía de Foto abrigo azul. Detalles de la licencia.

Hay un mar de datos no estructurados en Internet relacionados con las últimas amenazas a la seguridad. REGÍSTRESE HOY para aprender los conceptos clave del procesamiento del lenguaje natural (NLP) y cómo usarlo para navegar por el océano de datos y agregar contexto a las amenazas de ciberseguridad (¡sin ser un experto!). Esta Ayuntamiento de Threatpost interactivo y en VIVO, patrocinado por Rapid 7, contará con los investigadores de seguridad Erick Galinkin de Rapid7 e Izzy Lazerson de IntSights (una empresa de Rapid7), así como la reportera de Threatpost y presentadora de seminarios web Becky Bracken.

.

Puedes compartir en tu Facebook para que tus amigos lo lean

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *