Duitse onderzoekers hebben gaten in de Amazon cloud beheerinterface aangetoond, die vervolgens door Amazon werden gedicht vooraleer er misbruik van werd gemaakt.
Duitse onderzoekers hebben gaten in de Amazon cloud beheerinterface aangetoond, die vervolgens door Amazon werden gedicht vooraleer er misbruik van werd gemaakt. Onderzoekers aan de universiteiten van Bochum, Heidelberg en Keulen hebben twee types gaten gevonden in de beheerinterface die Amazon Web Services aanbiedt aan zijn klanten. Een methode betreft een misbruik van een boodschapmechanisme, naast een meer geavanceerd gebruik van cross-side scripting technieken.
De eerste aanvalswijze – XML signature wrapping – werd al in 2005 door IBM aangekaart en maakt het mogelijk om XML boodschappen met digitale handtekening alsnog ongemerkt te wijzigen. In het geval van de Amazon cloud kunnen SOAP boodschappen, afkomstig van de klant, met opdrachten voor resources in de cloud, worden voorzien van bijkomende opdrachten.
Deze laatsten kunnen het misbruik van resources (vergelijkbaar met het misbruik van zombies in botnetten), inclusief het stelen van data en informatie over paswoorden, encryptiesleutels etc door malafide derden mogelijk maken.
De onderzoekers beschreven tevens hoe cross side scripting aanvallen konden worden uitgevoerd, onder meer omdat de Amazon shop en de cloud beheerinterface een gemeenschappelijke log-in sessie delen.
Voorts stellen de onderzoekers dat de beschreven kwetsbaarheden ook van toepassing waren – zij het iets anders geïmplementeerd – op de beheerinterface van Eucalyptus, een populaire omgeving voor het bouwen van private cloudinfrastructuren.
Een en ander wordt beschreven in het artikel, “All your clouds are belong to us – Security analysis of cloud management interface”, inclusief een waarderend woord over de wijze waarop de betrokken teams hebben ingespeeld op de aangekaarte zwakheden.
De onderzoekers onderstrepen wel dat “de complexiteit van die [cloud]systemen een broeihaard van mogelijke kwetsbaarheden vormt. Vandaar dat cloud beheerinterface hoogstwaarschijnlijk in de nabije toekomst tot de meest aantrekkelijke doelwitten voor aanvallen door de georganiseerde misdaad zullen behoren.”
Amazon zelf stelt dat aan de kwetsbaarheden is verholpen en dat geen klanten werden geïmpacteerd.
