Risiken bei vorkonfigurierten Images für Amazons Cloud

Kunden von Amazons Cloud-Dienst können weltweit auf über 8000 vorkonfigurierte Amazon Machine Images (AMI) zurückgreifen. Dass viele davon diverse Sicherheitslücken aufweisen, zeigten Darmstädter Forscher bereits im Juni für rund 1100 AMIs. Eine Gruppe von Wissenschaftlern am französischen Eurécom untersuchte nun mehr als die Hälfte der weltweit verfügbaren Images und identifizierte sowohl dieselben als auch weitere Lücken.

Besonders befallen waren die Windows-AMIs, die allerdings nur einen geringen Teil der 5300 untersuchen Images ausmachten: Bei 246 von 253 Windows-Appliances gab es Sicherheitsprobleme. Besonders verbreitet war ein Bug, der das Ausführen beliebigen Codes erlaubt, wenn im Internet Explorer eine bestimmte Website geladen wird.

Etliche Linux-AMIs waren noch mit alten Debian-Versionen von OpenSSL/SSH ausgestattet, die schwache SSH-Schlüssel erzeugen. Dieser Bug ist seit 2008 bekannt. Doch nicht nur veraltete Software wirft in AMIs Probleme auf. So fanden die Forscher in vielen Fällen AWS-Keys, mit denen sich Dienste auf Kosten des Schlüsselbesitzers starten lassen.

Außerdem entdeckten sie private SSH-Schlüssel oder gar SSH-Zugänge, die nur ein Passwort verlangen. Letztere sind anfällig für Brute-Force-Angriffe. Auch das Löschen vertraulicher Daten reicht nicht immer aus. So war es möglich, etwa mit dem Linux-Tool extundelete gelöschte Dateien in einem Image zu rekonstruieren. Dabei tauchten einige vermeintlich beseitigte AWS- und SSH-Keys wieder auf.

Insgesamt fanden die Wissenschaftler bei rund einem Fünftel der untersuchten AMIs Authentifizierungsdaten und konnten bei 98 Prozent der Images gelöschte Dateien rekonstruieren. Amazon weist seine Kunden auf die Probleme hin und gibt Ratschläge zum Vermeiden von Sicherheitslücken in AMIs. Auch ein Tutorial soll beim Erstellen sicherer AMIs helfen. (ck)