Tenable Researchは最近、Google Looker Studio内の9つの重大なクロステナント脆弱性である「LeakyLooker」を発見しました。この脆弱性により、攻撃者はさまざまなGoogle Cloud Platformサービスから機密データを静かに流出させたり、変更したりすることができました。
セキュリティ研究者による責任ある開示に続いて、Googleは9つの脆弱性すべてをグローバルに修正し、エンドユーザーからの手動更新を必要とせずに脅威を排除しました。
これらの脆弱性は、多くのエンタープライズ環境全体で極めて機密性の高いデータを露出させ、Looker Studioのデータコネクタを積極的に使用している組織を危険にさらす可能性がありました。
影響を受けたクラウド統合は、Google Sheets、BigQuery、Spanner、Cloud Storage、PostgreSQL、MySQLデータベースなど、広く採用されているサービスを含む、膨大な攻撃対象領域にわたっていました。
異なるクラウドテナント間のコア分離保証を破ることで、悪意のある行為者はビジュアライゼーションプラットフォームを被害者のバックエンドインフラストラクチャの中心への忍び込みバックドアとして活用することができました。
Looker Studioは2つの異なる認証モデルによって制御されるライブデータ接続に依存してチャートを動的に生成します:レポート作成者の権限を使用する所有者認証情報と、閲覧者が自分のデータベースアクセス権を持つことを厳密に要求する閲覧者認証情報です。
Tenableのセキュリティ研究者は、これら2つの分離されたメカニズムを分離し操作することで、標準のセキュリティチェックを回避する完全に新しい攻撃パスを構築できることを発見しました。
このアーキテクチャ上の不具合は、安全なデータビジュアライゼーション専用のビジネスインテリジェンスプラットフォームを、クロステナントデータベースハイジャックの強力な武器に効果的に変換してしまいました。
ゼロクリックデータベース悪用
最初の攻撃パスは、所有者認証情報をターゲットとした壊滅的なゼロクリック脆弱性を生成しました。特に、攻撃者がSQLコメントタグ(/**/)を使用してGoogleのセキュリティフィルタをバイパスし、任意のバックエンドコマンドを実行できるようにする「エイリアスインジェクション」フローを利用しました。
さらに、深刻な「スティッキー認証情報」脆弱性により、未認可ユーザーは既存のレポートを複製し、JDBC接続されたデータソースの隠されたデータベース認証情報を新しく作成されたインスタンスに意図せず複製することができました。
攻撃者は複製されたレポートの所有者になったため、元のパスワードを必要とせずに、被害者のデータベースからデータを読み取り、書き込み、更新、または完全に削除するための完全な管理者権限を得ました。
2番目の攻撃パスは、ワンクリック脆弱性をバックグラウンドネットワークリクエストを操作することで、閲覧者認証情報に対して活用し、一見無害なレポートを被害者のアクティブなBigQueryプロジェクトに密かに接続しました。
攻撃者はプラットフォームのネイティブ計算機能を悪用して、複雑なマルチステートメントSQLインジェクションスクリプトを隠し、被害者が知らないうちに侵害されたレポートをクリックして開くと直ちに実行されました。
盗まれた情報を正常に抽出するために、スクリプトは被害者のデータを1文字ずつ読み取り、攻撃者の環境内の対応する空のテーブルにpingを送信し、サイバー犯罪者が自分のクロステナントアクセスログを監視するだけで、データベース全体を再構成できるようにしました。
Googleはすべてのクラウド環境全体でLeakyLooker脆弱性を完全に修復し、最新のビジネスインテリジェンスツールでのライブデータ統合に関連する深刻で見落とされることが多いリスクを強調しました。
直接的なパッチは顧客から必要とされていませんが、セキュリティチームは公開レポートと非公開レポートの両方の表示権限を持つ者を積極的に監査して、将来の露出を最小限に抑える必要があります。
組織は、すべてのデータコネクタを外部攻撃対象領域の重要なコンポーネントとして扱い、未使用または古いデータベースへのLooker Studioのアクセスを即座に取り消すことを強くお勧めします。
翻訳元: https://gbhackers.com/google-looker-studio-vulnerabilities/
