Cloud Amazonu umožňoval útočníkům manipulaci s virtuálními stroji

Pavel Houser , 01. listopad 2011 07:57 0 komentářů

Bezpečnostní výzkumníci objevili, že webové služby Amazonu obsahovaly zranitelnost, která útočníkům mohla dovolit ovládnout část cloudových služeb a provádět zde operace s vysokými uživatelskými oprávněními.

V rámci služeb EC2 by zneužití chyby umožnilo narušitelům např. spouštět nebo zastavovat virtuální stroje či vytvářet nové obrazy. Hlavní příčinou zranitelnosti je údajně špatně implementované šifrování/autentizace.

Na postup upozornili vědci z německé univerzity Ruhr-Universität. Útok využíval XML podpisů, které mohly manipulovat se zprávami protokolu SOAP tak, že je autentizační systém pokládal za pravé. Jádro problému mělo spočívat v tom, že ověření podpisu a zpracování XML se v rámci rozhraní Amazonu provádělo odděleně, což do systému umožňovalo propašovat nepodepsaný kód.

Zranitelnosti tohoto druhu byly poprvé objeveny již v roce 2005 a od té doby se s nimi cloudové systémy v té či oné míře stále potýkají. Podobným problémem podle výzkumníků trpěl např. i open source systém Eucalyptus, což je framework pro instalace privátních cloudů (de facto implementace API Amazon EC2). Možným řešením je změnit způsob, jak se podepisují podstromy. Stejní lidé rovněž uvádějí, že služby Amazonu jsou zranitelné i pomocí útoků cross-site scripting.

Výzkumníci před svou prezentací upozornili na problémy Amazon i tvůrce systému Eucalyptus. V tuto chvíli jsou již bezpečnostní chyby údajně odstraněny.

Zdroj: The Register


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

Rozhodnutí ÚS o odložení EET může vést k žalobám na stát

ČTK , 16. prosinec 2017 09:00

Tisíce a možná desítky tisíc podnikatelů a zástupců různých profesí se na třetí a čtvrtou vlnu EET u...

Více 1 komentářů

E-shopy vyjmutí plateb kartou z EET vítají, přišlo prý ale pozdě

ČTK , 16. prosinec 2017 08:00

Podle ministerstva financí ze zrušení povinnosti evidovat platby kartou pro poplatníky nevyplývá nut...

Více 0 komentářů

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Starší zprávičky

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů

Jižní Korea zvažuje, že zdaní obchody s bitcoinem

ČTK , 15. prosinec 2017 08:00

Vláda se obává dopadů, které s sebou může přinést náhlý cenový propad kryptoměn....

Více 0 komentářů

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů