Computerworld News Service: Tyske researchere fortæller, at de har fundet fejl i Amazons Web Services (AWS), som de regner med eksisterer i mange cloud-arkitekturer.
Selv om researcherne siger, at de har talt med AWS om sikkerhedshullerne, og at AWS har løst problemerne, så regner de med, at samme type angreb vil være effektivt mod andre cloud-tjenester, "eftersom relevante webservice-standarder gør performance og sikkerhed inkompatible."
Et research-team fra Ruhr University Bochum har anvendt en række såkaldte ‘XML signature-wrapping angreb' til at opnå administrative rettigheder til brugerkonti og derefter skabe nye instanser på kundens cloud, tilføje billeder og slette dem.
I et andet exploit brugte researcherne et cross-site scripting angreb mod det open source-baserede software framework til privat cloud, Eucalyptus.
De fandt samtidig ud af, at Amazons tjeneste også er sårbart over for cross-site scripting angreb.
"Det er ikke hos Amazon, problemet ligger," siger Juraj Somorovsky, der er en af researcherne.
"Det her er generelle angreb. Public cloud er ikke så sikkert, som det virker til. De her problemer kan også findes i andre cloud frameworks."
Juraj Somorovsky siger, at researcherne arbejder på high-performance biblioteker, der kan bruges med XML sikkerhed til at eliminere de sårbarheder, der kunne udnyttes i XML signature wrapping-angrebene. De vil være klar engang til næste år.
Amazon Web Services anerkender, at selskabet arbejder sammen med holdet fra Ruhr University om at rette problemerne, men:
"Ingen kunder er blevet påvirket," skriver en talsperson for AWS i en e-mail.
"Det er vigtigt at bemærke, at den potentielle sårbarhed kun involverer en meget lille procentdel af alle autentificerede AWS API-opkald, der bruger ikke-SSL-endpoints, og at der ikke er tale om en potentielt vidt spredt sårbarhed, som det er blevet fortalt i pressen."
Oversat af Marie Dyekjær Eriksen
