Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

‘Cloudservers Amazon zo lek als een mandje’

Door
Arnout Veenman
geplaatst op
25 april 2014 08:21 uur

Wie een cloudserver bij Amazon bestelt, heeft de keuze uit een groot aantal kant-en-klare images van besturingssystemen. Er is ook een image van Microsoft Windows Server 2003 beschikbaar. Uit onderzoek van een beveiligingsbedrijf blijkt dat het bewuste image in oktober 2009 voor het laatste was bijgewerkte én de auto-update functie is uitgeschakeld. Als gevolg daarvan zit het besturingssysteem nog vol met kritische lekken en is de server waarop het image wordt geïnstalleerd, daardoor zo lek als een mandje.

Uit de blog van beveiligingsbedrijf Bkav blijkt dat het probleem met de onveilige images van Amazon aan het licht kwam n dat een klant contact opnam omdat zijn server bij Amazon gehackt was. Al snel bleek dat de laatste update op de server in oktober 2009 was geïnstalleerd en de auto-update functie was uitgeschakeld. Op basis van een proof-of-concept-code van lek MS12-020 wist het beveiligingsbedrijf de server van de klant inderdaad zelf ook eenvoudig plat te leggen.

Nader onderzoek wees uit dat de server van de klant al gehackt was nog voordat de klant er voor het eerst op was ingelogd. De verklaring daarvoor is dat een cloudserver vóórdat de klant er toegang toe kan krijgen, met het internet verbonden is. Hackers die de IP-ranges continue automatisch afspeuren naar lekke servers, kregen de server eerder in de gaten dan het moment waarop de klant kon inloggen op de server. Het feit dat een hacker een server éérder kan hacken, dan dat de klant de server zelf kan patchen, maakt deze kwestie tot een nog groter probleem.

Om te controleren of het probleem van de klant met het niet bijgewerkte image op zichzelf stond werd door Bkav bij Amazon in verschillende regio’s een server besteld met een Microsoft Windows Server 2003 image. In de meeste gevallen bleek hetzelfde probleem en een enkele server in de Engeland, Japan en de VS bleek voor het laatst op maart 2012 te zijn bijgewerkt. Dat is nog steeds ruim twee jaar geleden, een eeuwigheid wanneer het gaat om veiligheidslekken. Ook stond in alle gevallen de auto-update functie uit.

Het probleem van de images met een lek besturingssysteem beperkt zich niet alleen tot Amazon, ook twee andere grote cloudproviders HP en GoGrid blijken images met Windows aan te bieden die respectievelijk 8 en 13 maanden al niet gepatcht zijn én ook staat auto-update in beide gevallen uit. Daarnaast kan worden afgevraagd of andere images wél veilig zijn. Hoe dan ook is het aan te raden om direct na het bestellen van een virtuele server – bij welke cloudprovider dan ook – het besturingssysteem en de overige software te updaten.

Reacties

Frits, 25 april 2014 9:59 am

Wat een mooie chocoladeletter Telegraaf-kop zeg. Bij Amazon AWS ben je zelf verantwoordelijk voor het onderhoud van je OS, inclusief patching.

Het had volgens mij beter kunnen zijn 'Windows is lek als je niet patched', wat hetzelfde is als 'gras is groen'.

Dat de instance direct gehacked is omdat deze aan internet hangt is natuurlijk bezwaarlijk, maar dat is op te lossen door de juiste Security Groups toe te passen, zodat je in eerste instantie er alleen zelf bij kan vanuit een specifiek IP.

Of uitrollen in een VPC en alleen toegankelijk maken via een VPN, zodat je het systeem eerst kan patchen alvorens aan internet te hangen.

FUD!

Arnout Veenman, 25 april 2014 11:40 am

Frits, je bent inderdaad zelf verantwoordelijk voor het (toekomstige) onderhoud van je virtuele server. Echter zodra de server opgeleverd is mag je verwachten dat de geïnstalleerde software up-to-date is én niet 5 jaar verouderd. Indien ik een tweede hands auto bij een garage koop, dan ben ik ook zelf verantwoordelijk voor het (toekomstige) onderhoud van de auto. Toch mag ik er vanuit gaan dat de remvloeistof is bijgevuld en ik niet de eerste bocht uitvlieg omdat ik niet kan remmen. De garage komt er dan ook echt niet mee weg te stellen dat ik dit voor vertrek had moeten controleren en zelf verantwoordelijk ben voor het onderhoud. Auto's die zonder remvloeistof worden geleverd noem ik levensgevaarlijk en servers die worden opgeleverd met een OS dat 5 jaar niet is geupdate én met de auto-update functionaliteit uitgeschakeld, zo lek als een mandje. Ik ben benieuwd of iemand daar anders over denkt.

Calypso, 25 april 2014 12:17 pm

@Arnout: met je eens; de kans dat de klant voordat-ie uberhaupt zelf toegang heeft tot de server potentieel al gehackt is, dat is wel degelijk Amazon toe te schrijven. Hoe ze het bij Amazon moeten doen maakt niet zoveel uit, of ze nu eerst de klant toegang moeten geven, alleen gepatchte servers uit moeten leveren of wat dan ook; de klant heeft als-ie pech heeft nooit de kans gehad om te patchen.

Ramon Smits, 5 mei 2014 11:07 am

Ook al is er inderdaad een RDP vulnerability je moet altijd nog via je firewall configuratie toegang geven aan je VM. Bij Amazon EC2 kun je eenvoudig alleen huidige IP adres whitelisten door bij 'source' de waarde 'My ip' te selecteren.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.