Virtualisiertes USB als Sicherheitslücke
USB+Cloud=Gefahr. Lücken in USB-über-Ethernet-Treibern für Clouddienste erlauben Angreifern, lokal und serverseitig beliebigen Code im Kernel-Modus auszuführen.
(Bild: takayuki/Shutterstock.com)
Sicherheitsforscher haben in Treibern der USB-über-Ethernet-Lösung von Eltima Schwachstellen entdeckt, durch die Nutzer ihre Rechte am System ausweiten können. Da das Eltima SDK von diversen Cloudanbietern direkt oder unter anderem Namen genutzt wird, sind Kunden zahlreicher Anbieter verwundbar – sowohl deren lokale Geräte, als auch serverseitige Cloud-Instanzen.
Mit Produkten wie Amazon WorkSpaces hat man eine virtuelle Maschine in der Cloud als Arbeitsplatz-PC. Um die lokal, zu Hause am PC, angeschlossene Webcam mit diesem virtuellen Arbeitsplatz-PC zu verbinden, kommen unter anderem die USB-over-Ethernet-Treiber zu Einsatz. Das realisieren Amazon & Co mit Bibliotheken von Fremdherstellern wie dem Eltima SDK. Dadurch erben die Cloud-Dienst-Nutzer unwissentlich deren Schwachstellen, ergänzen die Forscher. Gleich 27 CVE-Einträge listen die SentinalLabs auf: Viele Produkte sind von mehreren Schwachstellen betroffen.
Die gefundenen Schwachstellen ermöglichen die Rechteausweitung nicht nur auf dem lokalen Heim-PC sondern auch in der Cloud-VM. Angreifer könnten dadurch Code im Kernel-Modus ausführen und das unter anderem zur Deaktivierung von Sicherheitslösungen missbrauchen. Sie könnten auch Systemkomponenten überschreiben, um das Dateisystem zu zerstören oder ungehindert bösartige Operationen auszuführen, führen SentinalLabs aus.
Mehrere Cloud-Dienste betroffen
Die Sicherheitsforscher betonen, dass sie vornehmlich Amazon AWS, Accops und NoMachines genauer unter die Lupe genommen und die Schwachstellen dort bestätigt hätten. Sie gehen davon aus, dass höchstwahrscheinlich auch andere Cloudanbieter betroffen seien, die auf das Eltima SDK respektive Varianten davon setzen. Zudem seien sowohl lokale Endnutzer als auch die serverseitigen Cloud-Dienste angreifbar, weil die Server- und die Client-Anwendung teilweise denselben Code nutzen.
Die betroffenen Produkte umfassen unter anderem mehrere Amazon Cloud-Dienste, NoMachine, Accops HyWorks, Amzetta zPortal, Eltima USB Network Gate, FlexiHub und Donglify. In der Sicherheitsmeldung listen SentinalLabs detailliert die betroffenen Versionen auf. Zudem finden Nutzer dort im Abschnitt "Recommendations" Hinweise auf Reaktionen der Hersteller und wie Updates für den jeweiligen Anbieter vorzunehmen sind.
Zwar gebe es keine Hinweise darauf, dass die Sicherheitslücken in freier Wildbahn missbraucht wurden. Dennoch empfehlen die IT-Sicherheitsspezialisten, etwaige Zugangsdaten mit erhöhten Rechten auf den Plattformen zurückzuziehen, bis die Cloud-Plattform aktualisiert und Zugriffs-Protokolle auf ungewöhnliche Vorkommnisse überprüft wurden.
(dmk)