Amazon Web Services geknackt

Sicherheitslücken in der Amazon-Cloud entdeckt

24.10.2011
Von Tobias Wendehost
Wissenschaftler der Ruhr-Universität Bochum (RUB) haben Sicherheitsprobleme im Cloud-Angebot Amazon Web Services (AWS) entdeckt. Die erheblichen Lücken wurden von Amazon mittlerweile geschlossen.

Mit gezielten Angriffen auf die AWS, haben die Forscher Schwachstellen beim Cloud-Anbieter offengelegt. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend", bestätigt Professor Jörg Schwenk die Untersuchungen. Die Erkenntnisse über die Sicherheitslücke wurden beim ACM Cloud Computing Security Workshop in Chicago vorgestellt.

Während der Suche nach Security-Lecks konnten die Forscher administrative Rechte von beliebigen Cloud-Kunden übernehmen, indem sie verschiedene Varianten von XML Signature Wrapping-Angriffen starteten. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen", erläutert Juraj Somorovsky vom Forschungsteam das Ergebnis der Attacke.

Weitere Lücken zeigten sich auch beim AWS Interface und im Amazon Shop. Mit Cross-Site-Scripting-Attacken erreichten die Forscher einen ungehinderten Zugang zu allen Daten des Kunden, darunter auch Authentifizierungsdaten und Passwörter im Klartext.

Wegen der Sicherheitsprobleme warnen die RUB-Wissenschaftler auch vor einem zu leichtfertigen Umgang mit der Private Cloud. So fanden sie bei der Überprüfung der Open-Source-Lösung für private Clouds, Eucalyptus, ähnliche Schwachstellen. "Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen", lautet daher das Fazit der Bochumer.