Amazon Web Services geknackt

Sicherheitslücken in der Amazon-Cloud entdeckt

Tobias Wendehost beschäftigt sich als Volontär aktuell mit verschiedenen Hardwarethemen und stellt täglich ein Gadget des Tages vor. Ansonsten arbeitet er sich thematisch durch die Ressorts Job und Karriere, Software, Netzwerke und Mobile sowie IT-Strategie. Wer möchte, kann Tobias bei Twitter (@tubezweinull) folgen oder bei Xing eine Nachricht schreiben.
Wissenschaftler der Ruhr-Universität Bochum (RUB) haben Sicherheitsprobleme im Cloud-Angebot Amazon Web Services (AWS) entdeckt. Die erheblichen Lücken wurden von Amazon mittlerweile geschlossen.
Sicherheitslecks beim Cloud-Anbieter Amazon entdeckt.
Sicherheitslecks beim Cloud-Anbieter Amazon entdeckt.
Foto: Amazon

Mit gezielten Angriffen auf die AWS, haben die Forscher Schwachstellen beim Cloud-Anbieter offengelegt. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend", bestätigt Professor Jörg Schwenk die Untersuchungen. Die Erkenntnisse über die Sicherheitslücke wurden beim ACM Cloud Computing Security Workshop in Chicago vorgestellt.

Während der Suche nach Security-Lecks konnten die Forscher administrative Rechte von beliebigen Cloud-Kunden übernehmen, indem sie verschiedene Varianten von XML Signature Wrapping-Angriffen starteten. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen", erläutert Juraj Somorovsky vom Forschungsteam das Ergebnis der Attacke.

Weitere Lücken zeigten sich auch beim AWS Interface und im Amazon Shop. Mit Cross-Site-Scripting-Attacken erreichten die Forscher einen ungehinderten Zugang zu allen Daten des Kunden, darunter auch Authentifizierungsdaten und Passwörter im Klartext.

Wegen der Sicherheitsprobleme warnen die RUB-Wissenschaftler auch vor einem zu leichtfertigen Umgang mit der Private Cloud. So fanden sie bei der Überprüfung der Open-Source-Lösung für private Clouds, Eucalyptus, ähnliche Schwachstellen. "Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen", lautet daher das Fazit der Bochumer.