Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat Vulnerabilitats de LeakyLooker

Vulnerabilitats de LeakyLooker

El Mezo el Vulnerabilitat
Traduir a:

Investigadors de ciberseguretat han revelat un conjunt de nou vulnerabilitats entre inquilins a Google Looker Studio que podrien haver permès als atacants executar consultes SQL arbitràries contra les bases de dades de les víctimes i extreure informació sensible d'entorns organitzatius que s'executen a Google Cloud Platform.

El conjunt de defectes s'ha anomenat col·lectivament LeakyLooker. Els investigadors van informar dels problemes mitjançant la divulgació responsable el juny de 2025, i les vulnerabilitats s'han solucionat des de llavors. Actualment, no hi ha proves que indiquin que aquestes debilitats s'hagin explotat en atacs del món real.

Els analistes de seguretat alerten que els defectes soscaven els supòsits arquitectònics bàsics de la plataforma i introdueixen una classe d'atacs prèviament desconeguda capaç de manipular o extreure dades a través de múltiples inquilins del núvol.

Les nou vulnerabilitats darrere de la superfície d’atac LeakyLooker

La investigació va identificar nou defectes diferents que afecten diferents components de la plataforma i els seus connectors de dades. Aquestes vulnerabilitats inclouen:

  • Accés no autoritzat entre inquilins mitjançant injecció SQL sense clic als connectors de base de dades
  • Accés no autoritzat entre inquilins mitjançant injecció SQL sense clic utilitzant credencials emmagatzemades
  • Injecció SQL entre inquilins dirigida a BigQuery a través de funcions natives
  • Exposició de fonts de dades entre inquilins a través d'hipervincles
  • Injecció SQL entre inquilins que afecta Spanner i BigQuery a través de consultes personalitzades a la font de dades d'una víctima
  • Injecció SQL entre inquilins a través de l'API d'enllaç de Looker, que afecta BigQuery i Spanner.
  • Fuga de dades entre inquilins a través de la renderització d'imatges
  • XS-Leak entre inquilins en fonts de dades arbitràries mitjançant recompte de fotogrames i canals laterals basats en el temps
  • Atacs de denegació de cartera entre inquilins mitjançant el consum de recursos de BigQuery

En conjunt, aquests problemes podrien permetre als adversaris recuperar, inserir o suprimir dades dels serveis de les víctimes que operen dins dels entorns de Google Cloud.

Exposició generalitzada a través de connectors de dades

Les vulnerabilitats plantejaven riscos per a les organitzacions que utilitzaven una àmplia gamma d'integracions de dades de Looker Studio. L'ecosistema afectat abasta múltiples plataformes d'emmagatzematge i bases de dades que s'utilitzen habitualment en entorns empresarials, com ara Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL i Google Cloud Storage.

Qualsevol organització que confiï en aquests connectors als quadres de comandament de Looker Studio podria haver-se vist afectada, ja que les vulnerabilitats permetien als atacants travessar els límits dels inquilins i accedir a recursos que pertanyien a diferents projectes al núvol.

Rutes d’explotació: des d’informes públics fins al control de bases de dades

Els escenaris d'atac descrits pels investigadors mostren com els atacants podrien aprofitar els quadres de comandament accessibles públicament o obtenir accés a informes compartits de forma privada. Un cop obtingut l'accés, els actors maliciosos podrien explotar les vulnerabilitats per prendre el control de les bases de dades connectades.

Un escenari implicava l'escaneig d'informes de Looker Studio d'accés públic connectats a fonts de dades com ara BigQuery. Mitjançant l'explotació de defectes d'injecció, els atacants podien executar consultes SQL arbitràries a tot el projecte al núvol del propietari, permetent l'extracció de dades a gran escala.

Una altra via d'atac explotava una falla lògica en el mecanisme de còpia d'informes. Quan una víctima compartia un informe, ja fos públicament o amb usuaris específics, i l'informe utilitzava una font de dades basada en JDBC com ara PostgreSQL, els atacants podien duplicar l'informe tot conservant les credencials emmagatzemades del propietari original. Aquesta falla permetia que usuaris no autoritzats realitzessin accions com ara modificar o suprimir taules de la base de dades.

Els investigadors també van demostrar una tècnica d'alt impacte que permet l'exfiltració de dades amb un sol clic. En aquest escenari, una víctima que obria un informe especialment elaborat desencadenava una activitat maliciosa del navegador que es comunicava amb un projecte controlat per l'atacant. Mitjançant l'anàlisi i la reconstrucció del registre, l'atacant podia reconstruir bases de dades senceres a partir de les dades capturades.

Model de confiança trencada: els permisos dels espectadors es giren contra la plataforma

Les vulnerabilitats van minar de manera efectiva un principi de disseny bàsic de Looker Studio: la suposició que els usuaris amb accés a nivell de visualitzador no poden controlar ni influir en les dades subjacents.

Aprofitant les debilitats descobertes, els atacants podien eludir aquest límit de seguretat i interactuar directament amb els serveis connectats. Aquesta capacitat va obrir la porta a l'extracció, manipulació i accés entre inquilins no autoritzats de dades, afectant serveis com BigQuery i Google Sheets.

Tot i que les vulnerabilitats ja s'han corregit, les troballes destaquen la importància d'un disseny de seguretat rigorós en plataformes de núvol multiinquilí, on un únic defecte lògic pot provocar una àmplia exposició entre entorns.

Tendència

Més vist

Carregant...