Des chercheurs en sécurité ont découvert des vulnérabilités dans les pilotes de la solution USB over Ethernet d’Eltima, qui permettent aux utilisateurs d’étendre leurs droits sur le système. Comme le SDK d’Eltima est utilisé par divers fournisseurs de cloud, directement ou sous un autre nom, les clients de nombreux fournisseurs sont vulnérables – aussi bien leurs appareils locaux que les instances de cloud côté serveur.

Avec des produits comme Amazon WorkSpaces, on dispose d’une machine virtuelle dans le nuage comme PC de travail. Pour relier la webcam connectée localement, à la maison, à ce PC de travail virtuel, on utilise entre autres les pilotes USB-over-Ethernet. Amazon Co réalisent cela avec des bibliothèques de fabricants tiers comme le SDK Eltima. Les chercheurs ajoutent que les utilisateurs des services Cloud héritent ainsi sans le savoir de leurs points faibles. Les SentinalLabs ont répertorié pas moins de 27 entrées CVE : De nombreux produits sont concernés par plusieurs vulnérabilités.

Les vulnérabilités trouvées permettent d’étendre les droits non seulement sur le PC domestique local, mais aussi dans la VM en nuage. Les attaquants pourraient ainsi exécuter du code en mode noyau et en abuser, entre autres, pour désactiver des solutions de sécurité. Ils pourraient également écraser des composants du système pour détruire le système de fichiers ou exécuter librement des opérations malveillantes, expliquent les SentinalLabs.

Plusieurs services de cloud computing touchés

Les chercheurs en sécurité soulignent qu’ils ont examiné de plus près Amazon AWS, Accops et NoMachines et qu’ils y ont confirmé les failles. Ils partent du principe que d’autres fournisseurs de cloud computing qui misent sur le SDK Eltima ou sur des variantes de celui-ci sont très probablement aussi concernés. En outre, tant les utilisateurs finaux locaux que les services en nuage côté serveur seraient vulnérables, car l’application serveur et l’application client utilisent en partie le même code.

Les produits concernés comprennent notamment plusieurs services cloud d’Amazon, NoMachine, Accops HyWorks, Amzetta zPortal, Eltima USB Network Gate, FlexiHub et Donglify. Dans le message de sécurité, SentinalLabs énumère en détail les versions concernées. En outre, les utilisateurs trouveront dans la section « Recommendations » des indications sur les réactions des fabricants et sur la manière dont les mises à jour doivent être effectuées pour chaque fournisseur.

Certes, rien n’indique que les failles de sécurité ont été exploitées dans la nature. Les spécialistes de la sécurité informatique recommandent néanmoins de retirer les éventuelles données d’accès avec des droits élevés sur les plateformes jusqu’à ce que la plateforme cloud soit mise à jour et que les protocoles d’accès soient vérifiés en cas d’incidents inhabituels.