9:59
14/11/2011

Dziura w chmurze Amazonu

Amazon Web Services (EC2) był podatny na atak, który umożliwiał dostęp do niektórych kont i danych użytkowników.

Ataki na EC2/Eucalyptus

Niemieccy badacze przetestowali chmurę Amazonu pod kątem ataków XML signature wrapping umożliwiających spoofing żądań SOAP. Badaczom udało się przejąć kontrolę administracyjną nad “chmurami” poszczególnych użytkowników — byli w stanie dodawać i kasować obrazy maszyn.

W skrócie, atak polega na podpisywaniu fragmentów XML-a, a następnie takiej modyfikacji, aby walidator uznał częściowo podpisany XML za poprawny, a interpreter wykonał niepodpisany kod. Często błędy wynikają z rodzielenia mechanizmów weryfikacji podpisów i interpretacji instrukcji (tu: parsera XML)

Dodatkowo znalezione zostały XSS-y, które umożliwiły dostęp do danych użytkowników, w tym tokenów i haseł. Badacze twierdzą, że za pomocą swoich ataków mogli przejąć sesje użytkowników EC2.

Amazon EC2

Amazon EC2

Amazon w swoim oświadczeniu dla CRN stwierdził, że błąd dotyczył niewielkiego procetu wywołań API AWS, które nie korzystały z węzłów z SSL-em. Dodatkowo, Amazon twierdzi, że użytkownicy, którzy stosują dobre praktyki bezpieczeństwa nie byli zagrożeni. Przedstawiciel Amazonu dodał także, że błędy zostały poprawione kilka miesięcy temu.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

7 komentarzy

Dodaj komentarz
  1. Hmmm, w usłudze wykazano błędy, których nie było, bo rzeczone błędy które były poprawione kilka miesięcy wcześniej? Przecież rozwiązanie tego problemu logicznego wyłoży każdy algorytm ;-)

    • Pieniadze nie rozumieja logiki.

  2. “Badaczom udało im się przejąć” “procetu”

    F7 w Macach nie działa?

    • A co robi F7 na nie Macach?

    • @naresh: spellcheck.

  3. Link do “XML signature wrapping” chyba nie działa (przekierowuje na http://www.nds.rub.de/chair/news/)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: