Группа исследователей из Университета Рура (Германия) полагает, что в архитектуре многих публичных облачных систем, включая Amazon ЕС2 и S3, присутствуют серьезные уязвимости, позволяющие злоумышленникам получить административный доступ к учетным записям пользователей и всем данным на их виртуальных машинах.

Авторы проанализировали два типа атак: специфическую для облачных систем атаку на управляющий программный интерфейс с помощью обертывания сигнатур XML-сообщений (XML signature-wrapping) и кросс-сайтовые атаки на браузерные веб-интерфейсы, в том числе известной облачной платформы с открытым кодом Eucalyptus. Исследователи подчеркивают, что обнаруженные ими методы атак могут работать не только на перечисленных платформах.

 

Представители Amazon сообщают, что находятся в контакте с немецкими исследователями и работают над устранением выявленных ими проблем.Однако в компании утверждают, что уязвимость не так широко распространена, как считают исследователи, и затрагивает лишь небольшую долю аутентифицируемых вызовов программного интерфейса Amazon Web Services, не использующих SSL. В компании намереваются в будущем исключить эти вызовы из интерфейса.

 

Via Osp.ru