क्लाउड सिक्योरिटी फर्म ओर्का सिक्योरिटी ने 13 जनवरी को प्रकाशित एक विश्लेषण में कहा, अमेज़ॅन वेब सर्विसेज ने अपनी मुख्य सेवाओं में दो कमजोरियों को बंद कर दिया है, जिनमें से एक किसी भी उपयोगकर्ता को किसी भी कंपनी के बुनियादी ढांचे तक पहुंचने और नियंत्रण करने की इजाजत दे सकता है।

जबकि कमजोरियां अब ठीक हो गई हैं, हमले की श्रृंखला जिसमें एक मुख्य सेवा से समझौता करना, विशेषाधिकार बढ़ाना और अन्य उपयोगकर्ताओं पर हमला करने के लिए उस विशेषाधिकार का उपयोग करना शामिल है, अमेज़ॅन तक सीमित नहीं है। ओर्का सिक्योरिटी के मुख्य प्रौद्योगिकी अधिकारी योव अलोन कहते हैं, यह विधि कई अन्य क्लाउड विक्रेताओं को प्रभावित करती है। समस्या के केंद्र में सेवाओं के बीच अलगाव की कमी और विभिन्न सेवाओं और उपयोगकर्ताओं की अनुमतियों में बहुत कम ग्रैन्युलैरिटी है, वे कहते हैं।

कंपनी ने पहले ही अन्य क्लाउड सेवाओं के लिए इसी तरह के मुद्दों की सूचना दी है, लेकिन कंपनी की प्रकटीकरण प्रक्रिया पूरी होने तक एलोन उन कमजोरियों के बारे में विवरण नहीं देगा।

“हम मानते हैं कि ये महत्वपूर्ण कमजोरियों की अगली बड़ी लहर हैं क्योंकि हमने अपने डेटा केंद्रों से क्लाउड सेवाओं पर भरोसा किया है – और हमने अच्छा काम किया क्योंकि वे अधिकांश कंपनियों की तुलना में सुरक्षा में बेहतर हैं,” वे कहते हैं। “अब एक समस्या जो आपके क्लाउड प्रदाता में है वह आपको प्रभावित करती है और हो सकता है कि आपको इसका पता भी न हो।”

दो कमजोरियों में से सबसे महत्वपूर्ण एडब्ल्यूएस गोंद में हुई, एक सर्वर रहित एकीकरण सेवा जो एडब्ल्यूएस उपयोगकर्ताओं को डेटा को प्रबंधित करने, साफ करने और बदलने की अनुमति देती है, और डेटास्टोर को उपयोगकर्ता की अन्य सेवाओं के लिए उपलब्ध कराती है। इस दोष का उपयोग करके, हमलावर सेवा से समझौता कर सकते हैं और एक व्यवस्थापक बन सकते हैं – और चूंकि गोंद सेवा पर भरोसा किया जाता है, इसलिए वे अन्य उपयोगकर्ताओं के वातावरण तक पहुंचने के लिए अपनी भूमिका का उपयोग कर सकते हैं।

कारनामे ने ओर्का के शोधकर्ताओं को “खाते के भीतर विशेषाधिकारों को उस बिंदु तक बढ़ाने की अनुमति दी जहां हमारे पास पूरे प्रशासनिक विशेषाधिकारों सहित क्षेत्र में सेवा के लिए सभी संसाधनों तक अप्रतिबंधित पहुंच थी,” कंपनी इसकी एडवाइजरी में कहा गया है.

ओर्का के शोधकर्ता अन्य एडब्ल्यूएस ग्राहकों के खातों में भूमिका ग्रहण कर सकते हैं जिनका ग्लू सेवा के साथ एक विश्वसनीय संबंध है। ओर्का का कहना है कि ग्लू सेवा का उपयोग करने वाले प्रत्येक खाते में कम से कम एक भूमिका होती है जो ग्लू सेवा पर भरोसा करती है।

क्लाउडफॉर्मेशन (सीएफ) सेवा में एक दूसरी भेद्यता, जो उपयोगकर्ताओं को संसाधनों और क्लाउड संपत्तियों का प्रावधान करने की अनुमति देती है, ने शोधकर्ताओं को सीएफ सर्वर से समझौता करने और एडब्ल्यूएस इंफ्रास्ट्रक्चर सेवा के रूप में चलाने की अनुमति दी। भेद्यता, एक एक्सएमएल बाहरी इकाई (एक्सएक्सई) मुद्दा, विभिन्न एडब्ल्यूएस उपयोगकर्ताओं को अलग-अलग सुरक्षा के माध्यम से हमलों को छेदने की इजाजत दे सकता था, दूसरी एडवाइजरी में ओर्का सिक्योरिटी ने कहा.

क्लाउड प्रदाताओं को अपनी सेवाओं के अलगाव में सुधार करने के लिए काम करना चाहिए ताकि हमलावरों को समग्र क्लाउड के सुरक्षा मॉडल से समझौता करने के लिए एक मुख्य सेवा में कमजोरियों का उपयोग करने से रोका जा सके, एलोन कहते हैं। अगस्त 2021 में इसी तरह की समस्या ने Azure को प्रभावित किया, जब क्लाउड सुरक्षा फर्म Wiz.io के शोधकर्ताओं ने Microsoft द्वारा एकीकृत Jupyter Notebooks, एक डेटा-साइंस फीचर और इसके Cosmo DB डेटाबेस-ए-ए-सर्विस के तरीके में एक दोष पाया। जुपिटर नोटबुक्स का उपयोग करके, हमलावर अन्य उपयोगकर्ताओं के कॉस्मो डीबी इंस्टेंस तक पहुंच सकते हैं.

AWS भेद्यता क्लाउड मॉडल के लाभों और कमियों को रेखांकित करती है। क्लाउड प्रदाताओं को प्रभावित करने वाले सुरक्षा मुद्दे अक्सर प्रत्येक ग्राहक को जोखिम में डालते हैं, और अधिकांश ग्राहक अपने डेटा और वातावरण की सुरक्षा के लिए बहुत कम कर सकते हैं। इसकी तुलना व्यापक सॉफ़्टवेयर समस्याओं से करें, जैसे कि Log4j भेद्यता: सुरक्षा और IT टीमें समस्या को ठीक कर सकती हैं, हमलों पर नज़र रख सकती हैं, और वर्कअराउंड में डाल सकती हैं।

फिर भी, Log4j मुद्दे को खत्म करना एक समस्या बनी हुई है क्योंकि अलग-अलग कंपनियां अलग-अलग दरों पर इस मुद्दे को सुलझाती हैं। ओर्का ने पाया कि इसके तीन-चौथाई ग्राहक समस्या का खुलासा होने के दो सप्ताह बाद भी Log4j कमजोरियों के प्रति संवेदनशील थे। दूसरी ओर, अमेज़ॅन ने ओर्का द्वारा खोजे गए गोंद दोष को 48 घंटों के भीतर और क्लाउडफॉर्मेशन समस्या को छह दिनों के भीतर, सुरक्षा फर्म के अनुसार ठीक कर दिया।

“क्लाउड प्रदाता सुरक्षा का एक जबरदस्त काम करते हैं, लेकिन अभी भी मुद्दे हैं,” एलोन कहते हैं। “अगर वे अपनी सेवा में बेहतर कंपार्टमेंटलाइज़ करते हैं और एक बेहतर अनुमति प्रणाली बनाते हैं, तो यह इन मुद्दों में से बहुत से मुद्दों को रोक देगा। उन्हें अपने नेटवर्क को बेहतर तरीके से विभाजित करने और उनकी सेवा में उल्लंघन होने पर बेहतर सुरक्षा मॉडल रखने की भी आवश्यकता है।”

ओर्का सिक्योरिटी ने सितंबर और अक्टूबर में मुद्दों का पता लगाया। उन्होंने कमजोरियों का परीक्षण करने के लिए एक डमी खाते का उपयोग किया, जिससे शोधकर्ताओं को अन्य एडब्ल्यूएस ग्राहकों के डेटा को उजागर करने से रोका जा सके। कमजोरियों को अमेज़ॅन द्वारा तय किया गया था, और सुधारों को सत्यापित करने के लिए ओर्का द्वारा पैच का परीक्षण किया गया था।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here