9:59
14/11/2011

Dziura w chmurze Amazonu

Amazon Web Services (EC2) był podatny na atak, który umożliwiał dostęp do niektórych kont i danych użytkowników.

Ataki na EC2/Eucalyptus

Niemieccy badacze przetestowali chmurę Amazonu pod kątem ataków XML signature wrapping umożliwiających spoofing żądań SOAP. Badaczom udało się przejąć kontrolę administracyjną nad “chmurami” poszczególnych użytkowników — byli w stanie dodawać i kasować obrazy maszyn.

W skrócie, atak polega na podpisywaniu fragmentów XML-a, a następnie takiej modyfikacji, aby walidator uznał częściowo podpisany XML za poprawny, a interpreter wykonał niepodpisany kod. Często błędy wynikają z rodzielenia mechanizmów weryfikacji podpisów i interpretacji instrukcji (tu: parsera XML)

Dodatkowo znalezione zostały XSS-y, które umożliwiły dostęp do danych użytkowników, w tym tokenów i haseł. Badacze twierdzą, że za pomocą swoich ataków mogli przejąć sesje użytkowników EC2.

Amazon EC2

Amazon EC2

Amazon w swoim oświadczeniu dla CRN stwierdził, że błąd dotyczył niewielkiego procetu wywołań API AWS, które nie korzystały z węzłów z SSL-em. Dodatkowo, Amazon twierdzi, że użytkownicy, którzy stosują dobre praktyki bezpieczeństwa nie byli zagrożeni. Przedstawiciel Amazonu dodał także, że błędy zostały poprawione kilka miesięcy temu.

Przeczytaj także:

7 komentarzy

Dodaj komentarz
  1. Hmmm, w usłudze wykazano błędy, których nie było, bo rzeczone błędy które były poprawione kilka miesięcy wcześniej? Przecież rozwiązanie tego problemu logicznego wyłoży każdy algorytm ;-)

    • Pieniadze nie rozumieja logiki.

  2. “Badaczom udało im się przejąć” “procetu”

    F7 w Macach nie działa?

    • A co robi F7 na nie Macach?

    • @naresh: spellcheck.

  3. Link do “XML signature wrapping” chyba nie działa (przekierowuje na http://www.nds.rub.de/chair/news/)

Odpowiadasz na komentarz beria

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: