Investigadores alemanes encuentran fallos en Amazon Web Services (AWS) y otros servicios cloud
Investigadores alemanes afirman haber encontrado fallos en Amazon Web Services (AWS)que creen que existen en muchas otras arquitecturas cloud y que permiten a los atacantes conseguir derechos administrativos para acceder a todos los datos de los usuarios.
Mientras que los investigadores afirman haber informado a Amazon Web Services sobre los fallos de seguridad que éstos los resolvieran, creen que los mismos tipos de ataques podrían ser efectivos contra otros servicios cloud, “puesto que los estándares de los servicios web hacen que el rendimiento y la seguridad sean incompatibles”.
Un equipo de investigación de la Universidad de Ruhr, en Alemania, utilizó una variante de ataques de firma XML para conseguir acceso administrativo a las cuentas de los clientes, luego crearon nuevas instancias de las nubes de los clientes, añadieron imágenes y las borraron. En una acción diferente, los investigadores utilizaron otro tipo de ataques contra el entorno de trabajo open source de nubes privadas, Eucalyptus.
Además, descubrieron que el servicio Amazon era susceptible al tipo de ataques cross-site.
“No se trata únicamente de un problema de Amazon”, ha declarado Juraj Somorovsky, uno de los investigadores. “Se trata de ataques generales. Las nubes públicas no son tan seguras como quieren aparentar. Estos problemas podrían encontrarse también en otros entornos de trabajo en la nube”.
Somorovsky afirma que los investigadores están trabajando en unas librerías de alto rendimiento que pueden utilizarse con seguridad XML para eliminar la vulnerabilidad que ha sido explotada con los ataque de firma XML. Creen que estarán listos en algún momento del próximo año. Estos ataques reutilizan el conocimiento válido en Amazon Web Services para corregir problemas encontrados. Sin embargo, “ningún cliente se ha visto afectado”, explican desde Amazon Web Services.
Así las cosas, desde Amazon Web Services han publicado una lista de mejores prácticas que, si se sigue, podría proteger a los clientes de los ataques que han descubierto en la universidad de Ruhr, así como de otro tipo de amenazas.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.