Исследователи безопасности выявили ошибку в веб-сервисах Amazon, которая
давала хакерам возможность взять под контроль системы, базирующиеся на облаке, и
запускать задачи.
Ошибка, от которой пострадало облако Amazon EC2, и которая уже устранена,
могла использоваться, например, для запуска и остановки виртуальных машин, и для
создания новых образов в виртуальной среде EC2. Причиной ошибки стали плохие
криптографические практики.
Команда исследователей из немецкого Ruhr University выяснила, что сигнатурная
XML-атака могла быть использована для манипуляции SOAP сообщениями таким
образом, чтобы системы аутентификации EC4 на смогли распознать фальсификацию.
Этот подход использует класс дефектов безопасности, включая модификацию
частично подписанных документов XML, которые, как впервые были обнаружено в 2005
году, влияют на облачные системы.
Атака стала возможна из-за того, что проверка подписи приложения и
дешифрование XML проводились интерфейсом SOAP раздельно. Этот дефект
безопасности позволял тайком проводить неподписанный код через шлюзы на системы
управления с помощью модифицированных сообщений. "Атакующие могли передвигать
подписанное частичное дерево и затем внедрять специально созданные элементы в
оригинальную локацию", -
объяснили в H Security.
Согласно команде Ruhr, Eucalyptus, фреймворк с открытым кодом для приватных
установок на облако, имел похожую уязвимость.
В своей статье исследователи предлагают исправление для подобных атак,
которое включают в себя "подмножество XPath вместо ID атрибутов, чтобы указывать
на подписанное поддерево". Такой подход они считают более эффективным и
защищенным.
Исследователи заявили, что Amazon также уязвим для кросс-сайт скриптинг (XSS)
атак, которые могут позволить пользователям, вошедшим на онлайн-магазин, угонять
AWS сессии с использованием внедренного JavaScript кода. На семинаре ACM,
посвященном безопасности облаков, во время выступления под названием "All Your
Clouds are Belong to us", исследователи продемонстрировали уязвимость, возможную
лишь из-за того, что вход в магазин Amazon создает одновременную AWS сессию
облачного сервиса.
Исследователи проинформировали разработчиков Eucalyptus и Amazon о
недостатках безопасности еще до своего выступления. И те, и другие, по
сообщениям, уже устранили ошибки.
Больше подробностей о той части исследования, которая касается безопасности
облаков, можно узнать из
доклада
команды Ruhr.