Sicherheitslücke in Amazons Cloud

25.10.2011

Forscher der Ruhr-Universität Bochum haben beim Cloud-Anbieter Amazon eine Sicherheitslücke gefunden, die Zugriff auf die System anderer Kunden erlaubt.

Beim Cloud-Anbieter Amazon haben Forscher der Ruhr-Universität Bochum eine schwerwiegende Sicherheitslücke aufgedeckt. Mit Angriffsmethoden wie Signature Wrapping und Cross Site Scripting konnten sie sich Zugriff auf vermeintlich geschützte Systeme verschaffen. Nach Angaben von Prof. Dr. Jörg Schwenk, Lehrstuhl für Netz- und Datensicherheit, hat Amazon die Existenz der Sicherheitslücke bestätigt und umgehend geschlossen.

„Mit verschiedenen Varianten von XML Signature Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen“, so der Instituts-Mitarbeiter Juraj Somorovsky. „Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen.“ Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen solche Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen. „Wir arbeiten aber an einer hochperformanten Lösung, die keine der bekannten Sicherheitslücken mehr aufweist“, so Prof. Dr. Jörg Schwenk.

Außerdem entdeckten die Forscher auch Lücken im AWS Interface und im Amazon Shop, die sich dazu eigneten, ausführbaren Skriptcode einzuschleusen, die zu so genannten Cross Site Scripting-Angriffen führten. „Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext“, berichtet Mario Heiderich, ein Mitarbeiter des Lehrstuls. Im gemeinsamen Login der Amazon-Dienste sieht der Forscher ein weiteres Gefahrenpotential: „Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud.“

Auch Open-Source-Software für private Clouds wie das Eucalyptus-Framework ist nach der Analyse der Forscher von ähnlichen Schwachstellen betroffen. „Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen“, so Prof. Schwenk

Ähnliche Artikel

Mehr zum Thema

Spekulation über Hardware-Trojaner

 

Forscher der University of Massachusetts, der TU Delft und der Ruhr-Universität Bochum beschreiben jetzt in einem Papier die mindestens theoretische Möglichkeit, bereits bei der Chipherstellung Hintertüren in CPUs einzubauen, die so gut wie nicht zu entdecken wären und jede Verschlüsselung untergraben könnten.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020