Облачные вычисления часто рекламируются за их преимущества в области безопасности. Предполагается, что компания, которая размещает сотни серверов для клиентов, обладает лучшими навыками и ресурсами для защиты данных на этих серверах, чем отдельные владельцы этих данных. В случае нарушения безопасности в облачных вычислениях обычно виноват владелец данных, который неправильно настроил свой арендованный облачный сервер, а не поставщик облачных вычислений.
Но недавно исследователи из Австралии обнаружили уязвимость в системе управления облаком, используемой тысячами поставщиков облачных услуг, которые потенциально открыли тысячи серверов для атак не по вине клиентов или поставщиков облачных услуг.
Критическая уязвимость в OnApp, одной из ведущих платформ управления облачными вычислениями, используемой тысячами сервисов облачного хостинга по всему миру, позволит злоумышленнику захватить контроль над всеми серверами, управляемыми провайдером облака, если он имеет доступ только к одному из из этих серверов. Например, просто арендуя место на сервере у того же поставщика. Эту уязвимость обнаружила австралийская фирма по обеспечению безопасности Skylight Cyber. Уязвимость позволяет злоумышленнику красть, повреждать или удалять данные, принадлежащие другим клиентам, шифровать данные, чтобы предотвратить доступ к ним владельцев данных, скрывая при этом личность злоумышленника.
Это связано с тем, что уязвимость позволяет злоумышленнику получить доступ к этим серверам с использованием учетных данных и привилегий администратора облачного провайдера.
«Это не просто утечка данных, — рассказал генеральный директор Skylight Cyber Ади Ашкенази. — У вас есть root-доступ к этим серверам, так что вы можете устанавливать вредоносные программы, запускать вымогатели, все, что вам захочется… Это ужасная ошибка».
Если данные на серверах были зашифрованы их владельцами, злоумышленник, по крайней мере, сможет снова зашифровать данные с помощью собственного ключа, не позволяя владельцу получить доступ к данным на этом сервере.
Поскольку многие облачные провайдеры предлагают бесплатные пробные учетные записи, для регистрации которых требуется только адрес электронной почты, злоумышленнику не нужно будет предоставлять какие-либо идентифицирующие данные, чтобы получить доступ к первому серверу, с которого начнется атака.
OnApp — это лондонская платформа управления облаком для провайдеров хостинга, которая позволяет управлять парками облачных серверов, арендуемых государственными органами и малыми и крупными коммерческими компаниями. Она считается «самой популярной облачной платформой, о которой вы, вероятно, никогда не слышали», и, по словам компании, по крайней мере каждое третье публичное облако использует эту платформу, включая VPS.net, у которой 10 тыс. клиентов в более чем 180 странах.