Investigadores descobriram vulnerabilidade grave na cloud da Amazon

O problema possibilita a intrusos obterem privilégios equiparados aos de gestores da plataforma, além do roubo de dados.

No serviço de cloud computing da Amazon Web Services (AWS) foram encontradas várias falhas de segurança segundo investigadores alemães da Universidade de Ruhr, em Bochum (Alemanha). Mas mais grave do que isso é defenderem a forte possibilidade de as mesmas existirem em muitas arquitecturas de serviços de cloud de outras empresas.
As vulnerabilidades detectadas permitem aos intrusos obter privilégios de gestão atribuídos aos gestores dos sistemas de informação, sobre as contas. Assim, o caminho fica aberto para o roubo de  dados confidenciais de utilizadores.

De acordo com os especialistas em segurança, a AWS foi já informada sobre os problemas, e entrentanto já os corrigiu. No entanto, o mesmo tipo de ataque continua a ser possível em muitos mais fornecedores:  “as normas mais  relevantes de serviços baseados na Internet tornam incompatíveis os altos níveis de desempenho e a segurança”.

Um membro da equipa de investigadores, usou um ataque baseado no encapsulamento de assinaturas XML para atacar contas pessoais e obter acesso a elas. Conseguiu, por exemplo, alterar configurações, adicionar imagens e apagá-las. Noutra situação, o grupo fez um ataque de “cross site scripting”, à plataforma open-source para clouds privadas Eucalyptus. Trata-se de um tipo problema que afectava também a AWS.

“As cloud públicas não são tão seguras quanto parecem ser e  encontramos os mesmos problemas em várias companhias”, explica Juraj Somorovsy, um dos investigadores.

O mesmo revela que o grupo está a trabalhar com a AWS para desenvolver uma correção às falhas, envolvendo bibliotecas de alto desempenho, juntamente com segurança XML . Deverá estar pronta no próximo ano.

“Nenhum cliente foi prejudicado até agora”, garantiu. “É importante ressalvar que a vulnerabilidade atingiu um pequeno grupo de contas, as quais usam terminais sem protocolo SSL e não tem o potencial de disseminação, como foi já referido”.

A AWS tem publicado um conjunto de boas práticas de segurança capazes  de mitigar o referido risco.


Tags


Deixe um comentário

O seu email não será publicado