USB-Ausnutzung über Ethernet: Schwachstellen in AWS und anderen Cloud-Diensten

SentinelLabs entdeckte teils schwerwiegende Schwachstellen

[datensicherheit.de, 10.12.2021] „SentinelLabs“ hat nach eigenen Angaben Sicherheitslücken in AWS und anderen „Cloud“-Diensten entdeckt: Einige der betroffenen Anbieter hätten automatische Sicherheitsupdates bereitgestellt, um die teils schwerwiegenden Schwachstellen zu beheben – manche erforderten aber auch manuelle Maßnahmen des Kunden.

Angreifer könnt Code auf ungepatchten Systemen ausführen und Schwachstelle ausnutzen…

Forscher von „SentinelLabs“, der Research-Abteilung von SentinelOne, haben demnach „eine Reihe schwerwiegender Sicherheitslücken in Treibersoftware“ entdeckt, welche „AWS und zahlreiche weitere ,Cloud‘-Dienste betreffen“. Diese Schwachstellen ermöglichten es Angreifern, ihre Zugriffsrechte zu erweitern und so Sicherheitslösungen zu deaktivieren, Systemkomponenten zu überschreiben, das Betriebssystem zu beschädigen oder ungehindert bösartige Aktionen durchzuführen.
Benutzer mit betroffenen Client-Versionen seien anfällig für die Sicherheitslücken, welche bei erfolgreicher Ausnutzung verheerende Folgen haben könnten. Da der anfällige Code sowohl auf der Remote- als auch auf der lokalen Seite vorhanden sei, seien auch externe Desktops von dieser Sicherheitslücke betroffen.
„Ein Angreifer, der Zugriff auf das Netzwerk eines Unternehmens hat, kann dann z.B. auch Code auf ungepatchten Systemen ausführen und diese Schwachstelle nutzen, um sich lateral durch das Netzwerk zu bewegen und noch mehr Schaden anzurichten.“

SentinelLabs-Warnung vor Schwachstellen

„Cloud“-Desktop-Lösungen wie „Amazon Workspaces“ nutzten Bibliotheken von Drittanbietern, darunter „Eltima SDK“, um „USB-over-Ethernet“-Funktionen bereitzustellen, mit denen Benutzer lokale Geräte wie Webcams anschließen und gemeinsam nutzen könnten. Diese „Cloud“-Dienste würden von Millionen von Kunden weltweit genutzt. Schwachstellen in „Eltima SDK“, abgeleiteten Produkten und proprietären Varianten würden dann unwissentlich von „Cloud“-Kunden übernommen.
Sowohl der Endnutzer (z.B. Kunden von AWS WorkSpaces) als auch der „Cloud-Dienst“ (AWS WorkSpaces in der „AWS Cloud“) seien für verschiedene Schwachstellen anfällig. Diese Besonderheit lasse sich auf die gemeinsame Nutzung von Code durch server- und client-seitige Anwendungen zurückführen.
„SentinelLabs“ habe diese Schwachstellen für AWS, NoMachine und Accops durch konkrete Tests bestätigt. Es sei weiterhin sehr wahrscheinlich, dass auch andere Cloud-Anbieter, welche die gleichen Bibliotheken verwenden, anfällig sind. „Zudem wurden von den getesteten Anbietern nicht alle sowohl auf client- als auch auf server-seitige Schwachstellen getestet; folglich könnten auch dort weitere Schwachstellen vorhanden sein.“

Alle 27 Schwachstellen als CVE-Sicherheitslücken erfasst

Die Erkenntnisse von „SentinelLabs“ seien im zweiten Quartal 2021 proaktiv an die gefährdeten Anbieter gemeldet und alle Schwachstellen – insgesamt 27 an der Zahl – als CVE-Sicherheitslücken mit einer entsprechenden Kennnummer und Schwachstellenbewertung erfasst worden.
„SentinelLabs“ stellt online eine vollständige Liste der CVEs und der betroffenen Cloud-Dienste zur Verfügung.
Zum jetzigen Zeitpunkt habe „SentinelLabs“ keine Anzeichen für einen Missbrauch dieser Schwachstellen durch Kriminelle oder Hacker feststellen können. Da einige der Sicherheitslücken zur Behebung manuelle Patches benötigten, „wird Nutzern der betroffenen Dienste empfohlen, umgehend ihre aktuelle Softwareversion zu überprüfen und ein Update auszuführen, falls notwendig“.

Weitere Informationen zum Thema:

SentinelLABS, 07.12.2021
USB Over Ethernet | Multiple Vulnerabilities in AWS and Other Major Cloud Services