В «облачной» архитектуре обнаружены значительные изъяны безопасности

Специалисты из Рурского университета (Бохум, Германия) обнаружили уязвимости в Amazon Web Services, которые позволяют атакующим получить права администратора, и, следовательно, доступ ко всем пользовательским данным. Информация о уязвимостях была передана в AWS, которая уже залатала найденные «дыры», но, предупреждают ученые, аналогичные уязвимости могут присутствовать и в других «облачных» архитектурах.

Используя разные методы атак типа XML signature-wrapping, ученые получали доступ к пользовательским учетным записям, создавали новые образы «облаков», добавляли и удаляли изображения. Отдельные уязвимости были использованы для проведения XSS-атак против частной open source инфраструктуры Eucalyptus.

Как подчеркнул один из авторов исследования Юрай Шоморовский (Juraj Somorovsky), публичные «облака» не настолько безопасны, насколько должны быть. Сейчас исследователи работают над созданием библиотек, которые смогут использоваться для обеспечения безопасности XML, вероятно, они будут выпущены уже в следующем году.

Как отметили в AWS, компания благодарна ученым за своевременное предупреждение о проблеме. Впрочем, найденные уязвимости не привели к реальным атакам на пользователей сервиса, а выявленная «дыра» имеется в очень небольшой доле всех аутентифицированных AWS API вызовов, которые используют не-SSL оконечные точки. AWS опубликовала рекомендации, которые позволят избежать атак, на возможность которых указывают специалисты Рурского университета: для всех AWS сервисов использовать для связи с оконечными точками SSL/HTTPS, применять многофакторную аутентификацию для доступа к AWS Management Console, создавать учетные записи IAM с ограниченным числом ролей. Также стоит ограничивать доступ к данным с учетной записи, использовать политики, применять механизмы API доступа отличные от SOAP (например REST/Query), регулярно обновлять удостоверения AWS (Secret Keys, сертификаты X.509, пр.).