Vairāku licenču atlaides piedāvājums
Draudu datu bāze Neaizsargātība LeakyLooker ievainojamības

LeakyLooker ievainojamības

Līdz Mezo. gadam Neaizsargātība. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši deviņu starpnomnieku ievainojamību kopumu pakalpojumā Google Looker Studio, kas varēja ļaut uzbrucējiem izpildīt patvaļīgus SQL vaicājumus upuru datubāzēs un iegūt sensitīvu informāciju no organizācijas vidēm, kas darbojas pakalpojumā Google Cloud Platform.

Trūkumu kopums ir kopīgi nosaukts par LeakyLooker. Pētnieki ziņoja par problēmām, atbildīgi atklājot informāciju 2025. gada jūnijā, un ievainojamības kopš tā laika ir novērstas. Pašlaik nav pierādījumu, kas liecinātu, ka šīs ievainojamības būtu izmantotas reālos uzbrukumos.

Drošības analītiķi brīdina, ka šie trūkumi apdraud platformas galvenos arhitektūras pieņēmumus un ievieš iepriekš neatpazītu uzbrukumu klasi, kas spēj manipulēt ar datiem vai iegūt tos vairākos mākoņpakalpojumu nomniekos.

Deviņas ievainojamības, kas slēpjas aiz LeakyLooker uzbrukuma virsmas

Pētījumā tika identificēti deviņi atšķirīgi trūkumi, kas ietekmē dažādas platformas un tās datu savienotāju sastāvdaļas. Šīs ievainojamības ietver:

  • Neautorizēta piekļuve vairākiem nomniekiem, izmantojot SQL injekciju bez klikšķa datubāzes savienotājos
  • Neautorizēta piekļuve vairākiem nomniekiem, izmantojot SQL injekciju bez klikšķa un saglabātos akreditācijas datus
  • Starpnomnieku SQL injekcija, kas vērsta uz BigQuery, izmantojot vietējās funkcijas
  • Vairāku nomnieku datu avotu pieejamība, izmantojot hipersaites
  • Starpīpašnieku SQL injekcija, kas ietekmē Spanner un BigQuery, izmantojot pielāgotus vaicājumus upura datu avotā
  • Starpīpašnieku SQL injekcija, izmantojot Looker saistīšanas API, kas ietekmē BigQuery un Spanner
  • Datu noplūde starp nomniekiem, izmantojot attēlu renderēšanu
  • Starpīpašnieku XS noplūde patvaļīgos datu avotos, izmantojot kadru skaitīšanu un uz laiku balstītus sānu kanālus
  • Starpīpašnieku maka atteikuma uzbrukumi, izmantojot BigQuery resursu patēriņu

Kopumā šīs problēmas varētu ļaut pretiniekiem izgūt, ievietot vai dzēst datus no cietušo pakalpojumiem, kas darbojas Google Cloud vidē.

Plaša iedarbība datu savienotājos

Šīs ievainojamības radīja riskus organizācijām, kas izmanto plašu Looker Studio datu integrāciju klāstu. Skartā ekosistēma aptver vairākas krātuves platformas un datubāzes, kas parasti tiek izmantotas uzņēmumu vidē, tostarp Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL un Google Cloud Storage.

Jebkura organizācija, kas paļaujas uz šiem savienotājiem Looker Studio informācijas paneļos, varētu būt tikusi ietekmēta, jo ievainojamības ļāva uzbrucējiem šķērsot nomnieku robežas un piekļūt resursiem, kas pieder dažādiem mākoņprojektiem.

Izmantošanas ceļi: no publiskiem ziņojumiem līdz datubāzes kontrolei

Pētnieku aprakstītie uzbrukumu scenāriji parāda, kā uzbrucēji varētu izmantot publiski pieejamus informācijas paneļus vai iegūt piekļuvi privāti koplietotām atskaitēm. Kad piekļuve būtu iegūta, ļaunprātīgi lietotāji varētu izmantot ievainojamības, lai pārņemtu kontroli pār savienotajām datubāzēm.

Viens scenārijs ietvēra publiski pieejamu Looker Studio pārskatu skenēšanu, kas saistīti ar datu avotiem, piemēram, BigQuery. Izmantojot injekcijas trūkumus, uzbrucēji varēja izpildīt patvaļīgus SQL vaicājumus visā īpašnieka mākoņprojektā, nodrošinot liela mēroga datu ieguvi.

Citā uzbrukuma veidā tika izmantota loģikas kļūda ziņojumu kopēšanas mehānismā. Kad upuris kopīgoja ziņojumu publiski vai ar konkrētiem lietotājiem, un ziņojumā tika izmantots JDBC datu avots, piemēram, PostgreSQL, uzbrucēji varēja dublēt ziņojumu, vienlaikus saglabājot sākotnējā īpašnieka saglabātos akreditācijas datus. Šis trūkums ļāva neatļautiem lietotājiem veikt tādas darbības kā datubāzes tabulu modificēšana vai dzēšana.

Pētnieki demonstrēja arī augstas ietekmes tehniku, kas ļauj veikt datu eksfiltrāciju ar vienu klikšķi. Šajā scenārijā upuris, atverot speciāli izveidotu ziņojumu, izraisīja ļaunprātīgu pārlūka darbību, kas sazinājās ar uzbrucēja kontrolētu projektu. Veicot žurnālu analīzi un rekonstrukciju, uzbrucējs varēja atjaunot veselas datubāzes no iegūtajiem datiem.

Bojāts uzticības modelis: skatītāju atļaujas ir vērstas pret platformu

Šīs ievainojamības efektīvi apdraudēja Looker Studio pamatprojektēšanas principu: pieņēmumu, ka lietotāji ar skatītāja līmeņa piekļuvi nevar kontrolēt vai ietekmēt pamatā esošos datus.

Izmantojot atklātās ievainojamības, uzbrucēji varēja apiet šo drošības robežu un tieši mijiedarboties ar pievienotajiem pakalpojumiem. Šī iespēja pavēra durvis neatļautai datu ieguvei, manipulācijai un piekļuvei no citiem nomniekiem, ietekmējot tādus pakalpojumus kā BigQuery un Google Sheets.

Lai gan ievainojamības tagad ir novērstas, atklājumi uzsver stingras drošības dizaina nozīmi daudznomnieku mākoņplatformās, kur viena loģikas kļūda var kaskādes veidā izraisīt plašu iedarbību dažādās vidēs.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
22,143
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...