Sicherheitsanalyse der Private Cloud Interfaces von openQRM

Frederic Schulz, Dennis Felsch, Jörg Schwenk

In Proceedings of the DACH Security 2015, Bonn, Germany


Abstract

Eine zentrale Eigenschaft einer Infrastructure as a Service (IaaS) Cloud ist das Vorhandensein von Interfaces, mit denen ein Nutzer seine virtuellen Maschinen verwalten kann. Häufig werden dazu interaktive HTML5 Web-Interfaces eingesetzt. Doch mit steigendem Grad an Interaktivität steigt auch die Gefahr durch Sicherheitslücken. Dieses Paper zeigt, wie anfällig eine Cloud-Infrastruktur wird, wenn das genutzte Web-Interface Schwachstellen aufweist. Anhand der Sicherheits-Analyse der Interfaces der Software openQRM, einer in Deutschland entwickelten Cloud-Plattform, wird gezeigt, dass web-basierte Angriffe bis in eine virtuelle Maschine hinein Auswirkungen haben können. Dazu muss ein Angreifer nicht einmal direkten Zugriff auf ein Cloud-Interface haben. Für einen erfolgreichen Angriff ist es ausreichend, dass ein unvorsichtiger Mitarbeiter einen bösartigen Link aufruft. Alle gefundenen Schwachstellen wurden den Entwicklern von openQRM gemeldet.

[Paper]

tags: Cloud-Security, Infrastructure-as-a-Service (IaaS), openQRM