Wissenschaftler vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum ist es gelungen, die Cloud-Kontrollschnittstelle der Software-Plattform Eucalyptus zu umgehen. Sie konnten so alle Funktionen in der Cloud ausführen und nutzen. Die Sicherheitslücke wurde inzwischen geschlossen.
Auf Grundlage der Open-Source-Implementierung Eucalyptus sind nach Angaben der Bochumer Wissenschaftler in den vergangenen Jahren weltweit mehr als 25.000 Clouds von Dienstleistern entstanden. Nach eigenen Angaben nutzen rund 40 Prozent der vom US-Magazin Fortune gelisteten 100 umsatzstärksten Unternehmen die Plattform. Während einer Sicherheitsüberprüfung entdeckten die Bochumer Forscher Juraj Somorovsky, Jörg Schwenk, Meiko Jensen und der Student Xiaofeng Lou die kritische Lücke, die als Einfallstor in den Datenbereich eines potenziellen Opfers hätte dienen können.
„Durch einen so genannten ‚Signature Wrapping‘-Angriff (PDF) ist es uns gelungen, die Cloud-Kontrollschnittstelle zu umgehen“, teilte Jörg Schwenk mit. Voraussetzung ist eine Signatur, die in jeder Nachricht verborgen ist, mit der der Nutzer seine Cloud steuert. Einmal ausspioniert, weist sich der Angreifer an der Schnittstelle als offiziell angemeldeter Kunde aus und hebelt so den Sicherungsmechanismus aus.
Mit falschen Befehlen, die unter einer korrekten Identität versandt wurden, konnten die Wissenschaftler beliebige Funktionen in der angegriffenen Cloud ausführen. Die abgefangene Nachricht ließ sich zeitlich unbegrenzt zur Anmeldung nutzen.
Diese Schwachstelle sei nur eine von vielen der unzähligen Cloud-Angebote, auf die die RUB-Forscher in der letzten Zeit gestoßen sind. „Dass wir das Sicherheitsteam von Eucalyptus sofort auf diese Sicherheitslücke aufmerksam gemacht haben, versteht sich von selbst. Dort wurde das Problem sehr ernst genommen und in der vergangenen Woche mit einem neuen Release behoben“, heißt es vonseiten der Wissenschaftler.
„Die von den Bochumer Wissenschaftlern aufgedeckten Schwächen im Cloud Broker werfen ein neues Licht auf die Sicherheit von Cloud-Instanzen“, sagt Udo Schneider, Solution Architect bei Trend Micro, auf Anfrage von ZDNet. „Denn mit Zugriff auf den Cloud Broker kann ein Angreifer Maschinen starten, stoppen, löschen oder Daten kopieren beziehungsweise sogar dauerhaft löschen. Mit einem Schutz der virtuellen Maschinen – etwa mittels der Trend-Micro-Lösungen Deep Security und der Daten durch Secure Cloud – lässt sich das kopieren und ‚zerstören‘ der Infrastruktur nicht verhindern. Aber falls eine Kopie in unbefugte Hände gelangt, sind die verschlüsselten Daten für den Angreifer völlig wertlos.“ Und aufgrund von Deep Security erhalte auch jemand, der die Kontrolle über den Cloud Broker an sich gerissen hat, nicht zugleich Zugriff auf die virtuellen Maschinen.
„Die Akzeptanz von Cloud-Angeboten steht und fällt mit deren Sicherheit. Daher ist es wichtig, diese Dienste intensiv auf Schwachstellen zu prüfen. Die RUB leistet hier Pionierarbeit“, lobt Ralf Benzmüller, Leiter der GData Security Labs im Gespräch mit ZDNet. Allerdings hält er breit angelegte Angriffe auf Cloud-Dienste derzeit noch für unwahrscheinlich. Seiner Meinung nach sollte die Zeit dennoch genutzt werden, um die Dienste gegen künftige Bedrohungen abzusichern.
Cloud-Anwendungen böten insbesondere für gezielte Attacken interessante Möglichkeiten. Für Unternehmen sei es wichtig nicht nur die geringeren Kosten zu sehen, sondern auch die Sicherheitsrisiken abzuschätzen. „Cloud-Dienste können die Sicherheit erhöhen. Mitunter erweitern sie aber auch das lokale Netzwerk und machen es noch schwieriger den Zugang zu Daten zu kontrollieren“, so Benzmüller.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…