Cloudové služby jsou snadno napadnutelné, tvrdí vědci

Albert Ryba | 27.10.2011 | Bezpečnost, Cloud | Žádné komentáře

Němečtí bezpečnostní experti nalezli skandální bezpečnostní chybu v cloudových službách Amazonu a navíc jsou přesvědčeni, že podobný problém existuje i v řadě dalších cloudových architektur. Chyba umožňuje útočníkovi získat administrátorská práva a následně i přístup ke všem uživatelským datům.

Tato skutečnost může být pro firmu, která má v takovém cloudu důležitá data pro svůj byznys doslova pohromou. Objevená chyba se konkrétně týká služeb označovaných jako Amazon Web Services (AWS). I když Amazon na zjištění rychle zareagoval a vydal doporučení jak se chránit a pracuje i na trvalé opravě (viz dále), problémem je zejména fakt, že pravděpodobně budou podobné zranitelnosti existovat ještě delší dobu v celé řadě podobných služeb, které tak budou nadále vůči útoku zranitelné.

Výzkumný tým z univerzity v Bochumu využil řadu útoků označovaných jako wrapping XML signature-wrapping attack, aby získal přístup k uživatelským účtům a výzkumníci následně použili v samostatném exploitu útok typu cross-site scripting zaměřený proti open source softwarovému řešení pro privátní cloudy Eucalyptus. Vůči tomuto útoku je podle zjištění výzkumníku ale citlivá i celá řada veřejných cloudových služeb, ne jen ty od Amazonu.

Cross-site scripting (XSS) je metoda narušení webových stránek či služeb s pomocí využití bezpečnostních chyb ve skriptech (především jde o neošetřené vstupy). Útočník díky těmto chybám v zabezpečení webové aplikace dokáže do stránek podstrčit svůj vlastní javascriptový kód, což může využít buď pouze k poškození vzhledu stránky, jejímu znefunkčnění anebo dokonce k získávání citlivých údajů návštěvníků stránek, obcházení bezpečnostních prvků aplikace a phishingu.

Juraj Somorovsky, jeden z výzkumníků (pravděpodobně slovenského původu), situaci komentuje slovy, že veřejné cloudy podle něj nejsou zdaleka tak bezpečné, jak se zdají být a tento typ útoku může být využit poměrně obecně na řadu dalších cloudových služeb. Výzkumníci proto současně s objevením zranitelnosti začali pracovat na možné opravě v podobě knihovny, která by měla eliminovat možnost XML signature-wrapping útoků. Hotová by měla být někdy během příštího roku a také Amazon začal s výzkumníky opracovat na definitivním vyřešení problému.

Mluvčí Amazonu pro služby AWS potvrdila, že zatím nebyl nikdo ze zákazníků tímto typem útoku poškozen a podle ní je potřeba poznamenat, že tato potenciální zranitelnost se může projevit jen v malém množství situací, kdy API služby AWS volá koncový bod bez SSL šifrování a nelze ji podle ní považovat za tak široce rozšířenou, jak tvrdí němečtí bezpečnostní experti.

Amazon současně vydal i sadu doporučení pro uživatele, zahrnující bezpečnostní praktiky, které podle něj mají ochránit zákazníky před typem útoku, který provedli vědci z univerzity v Bochumu. Ty jsou k dispozici (v angličtině) na webu Amazonu včetně detailnějšího popisu objevené zranitelnosti.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


− šest = dva

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz