- Новости
- Продукты
- Компания
- » О компании
- » История
- » Форум
- » Контактная информация
- Работа
Новости компании
24.10.2023
31.12.2022
Хакеры могли захватить веб-сервисы Amazon: все ваши облака принадлежат нам
29 октября, 2011
Исследователи безопасности выявили ошибку в веб-сервисах Amazon, которая давала хакерам возможность взять под контроль системы, базирующиеся на облаке, и запускать задачи.
Ошибка, от которой пострадало облако Amazon EC2, и которая уже устранена, могла использоваться, например, для запуска и остановки виртуальных машин, и для создания новых образов в виртуальной среде EC2. Причиной ошибки стали плохие криптографические практики.
Команда исследователей из немецкого Ruhr University выяснила, что сигнатурная XML-атака могла быть использована для манипуляции SOAP сообщениями таким образом, чтобы системы аутентификации EC4 на смогли распознать фальсификацию.
Этот подход использует класс дефектов безопасности, включая модификацию частично подписанных документов XML, которые, как впервые были обнаружено в 2005 году, влияют на облачные системы.
Атака стала возможна из-за того, что проверка подписи приложения и дешифрование XML проводились интерфейсом SOAP раздельно. Этот дефект безопасности позволял тайком проводить неподписанный код через шлюзы на системы управления с помощью модифицированных сообщений. “Атакующие могли передвигать подписанное частичное дерево и затем внедрять специально созданные элементы в оригинальную локацию”, - объяснили в H Security.
Согласно команде Ruhr, Eucalyptus, фреймворк с открытым кодом для приватных установок на облако, имел похожую уязвимость.
В своей статье исследователи предлагают исправление для подобных атак, которое включают в себя “подмножество XPath вместо ID атрибутов, чтобы указывать на подписанное поддерево”. Такой подход они считают более эффективным и защищенным.
Исследователи заявили, что Amazon также уязвим для кросс-сайт скриптинг (XSS) атак, которые могут позволить пользователям, вошедшим на онлайн-магазин, угонять AWS сессии с использованием внедренного JavaScript кода. На семинаре ACM, посвященном безопасности облаков, во время выступления под названием “All Your Clouds are Belong to us”, исследователи продемонстрировали уязвимость, возможную лишь из-за того, что вход в магазин Amazon создает одновременную AWS сессию облачного сервиса.
Исследователи проинформировали разработчиков Eucalyptus и Amazon о недостатках безопасности еще до своего выступления. И те, и другие, по сообщениям, уже устранили ошибки.
Больше подробностей о той части исследования, которая касается безопасности облаков, можно узнать из доклада команды Ruhr.
Xakep.ru
Мировые события
18.10.2023
Сотрудники заражают систему пытаясь пробиться в социальную сеть
Политика закрытия доступа к социальным сетям, провоцирует сотрудников компании скачивать потенциально опасное ПО....
07.10.2023
Сертификат, украденный у правительства Малайзии, использовался для подписи вредоносного ПО
Исследователи обнаружили свободно циркулирующее вредоносное ПО, которое использует цифровую подпись, принадлежащую правительству Малайзии....
17.09.2023
Арестован румынский хакер, взломавший серверы NASA
Румынские власти арестовали 26-летнего хакера, ответственного за взлом нескольких серверов NASA....