Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid LeakyLooker-kwetsbaarheden

LeakyLooker-kwetsbaarheden

Tegen Mezo in Kwetsbaarheid
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben negen beveiligingslekken in Google Looker Studio ontdekt die aanvallers in staat zouden hebben gesteld willekeurige SQL-query's uit te voeren op databases van slachtoffers en gevoelige informatie te bemachtigen uit bedrijfsomgevingen die draaien op Google Cloud Platform.

De verzameling kwetsbaarheden is gezamenlijk bekend geworden onder de naam LeakyLooker. Onderzoekers meldden de problemen via een verantwoordelijke openbaarmakingsprocedure in juni 2025, waarna de kwetsbaarheden zijn verholpen. Momenteel zijn er geen aanwijzingen dat deze zwakheden daadwerkelijk zijn misbruikt bij cyberaanvallen.

Beveiligingsanalisten waarschuwen dat de gebreken de fundamentele architectuurprincipes van het platform ondermijnen en een voorheen onbekende categorie aanvallen introduceren die in staat zijn om gegevens te manipuleren of te extraheren uit meerdere cloudomgevingen.

De negen kwetsbaarheden achter de LeakyLooker-aanval

Het onderzoek bracht negen afzonderlijke gebreken aan het licht die verschillende onderdelen van het platform en de bijbehorende dataverbindingen beïnvloeden. Deze kwetsbaarheden omvatten:

  • Ongeautoriseerde toegang tussen tenants via SQL-injectie met nul klik op databaseconnectoren.
  • Ongeautoriseerde toegang tussen tenants via zero-click SQL-injectie met behulp van opgeslagen inloggegevens
  • SQL-injectie tussen tenants gericht op BigQuery via native functies
  • Toegang tot gegevensbronnen tussen verschillende tenants via hyperlinks
  • SQL-injectie tussen tenants treft Spanner en BigQuery via aangepaste query's op de gegevensbron van een slachtoffer.
  • SQL-injectie tussen tenants via de Looker-koppelings-API, met gevolgen voor BigQuery en Spanner.
  • Gegevenslekken tussen tenants via beeldweergave
  • Cross-tenant XS-lek op willekeurige gegevensbronnen met behulp van frame-telling en timing-gebaseerde side channels
  • Cross-tenant denial-of-wallet-aanvallen via het resourceverbruik van BigQuery.

Gezamenlijk kunnen deze problemen aanvallers in staat stellen gegevens op te halen, in te voegen of te verwijderen uit diensten van slachtoffers die actief zijn binnen Google Cloud-omgevingen.

Wijdverspreide blootstelling via dataverbindingen

De kwetsbaarheden vormden een risico voor organisaties die gebruikmaken van een breed scala aan Looker Studio-data-integraties. Het getroffen ecosysteem omvat meerdere opslagplatformen en databases die veelvuldig worden gebruikt in bedrijfsomgevingen, waaronder Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL en Google Cloud Storage.

Elke organisatie die afhankelijk is van deze connectors in Looker Studio-dashboards had mogelijk getroffen kunnen worden, aangezien de kwetsbaarheden aanvallers in staat stelden om tenantgrenzen te overschrijden en toegang te krijgen tot resources die toebehoren aan verschillende cloudprojecten.

Exploitatiepaden: van openbare meldingen tot databasebeheer

Aanvalsscenario's die door onderzoekers zijn geschetst, laten zien hoe aanvallers gebruik kunnen maken van openbaar toegankelijke dashboards of toegang kunnen krijgen tot privé gedeelde rapporten. Zodra ze toegang hebben, kunnen kwaadwillenden de kwetsbaarheden misbruiken om de controle over verbonden databases over te nemen.

Een van de scenario's betrof het scannen naar openbaar toegankelijke Looker Studio-rapporten die gekoppeld waren aan gegevensbronnen zoals BigQuery. Door misbruik te maken van injectielekken konden aanvallers willekeurige SQL-query's uitvoeren op het gehele cloudproject van de eigenaar, waardoor grootschalige gegevensextractie mogelijk werd.

Een andere aanvalsmethode maakte gebruik van een logische fout in het mechanisme voor het kopiëren van rapporten. Wanneer een slachtoffer een rapport deelde, openbaar of met specifieke gebruikers, en het rapport gebruikmaakte van een JDBC-gebaseerde gegevensbron zoals PostgreSQL, konden aanvallers het rapport dupliceren en tegelijkertijd de opgeslagen inloggegevens van de oorspronkelijke eigenaar behouden. Deze fout stelde onbevoegde gebruikers in staat om acties uit te voeren zoals het wijzigen of verwijderen van databasetabellen.

Onderzoekers demonstreerden ook een zeer effectieve techniek waarmee met één klik gegevens kunnen worden gestolen. In dit scenario opende een slachtoffer een speciaal opgesteld rapport, wat leidde tot kwaadaardige browseractiviteit die communiceerde met een door de aanvaller beheerd project. Door middel van loganalyse en reconstructie kon de aanvaller complete databases reconstrueren op basis van de buitgemaakte gegevens.

Het model van verbroken vertrouwen: kijkersrechten tegen het platform gebruikt.

De kwetsbaarheden ondermijnden effectief een kernprincipe van het ontwerp van Looker Studio: de aanname dat gebruikers met toegang op kijkersniveau de onderliggende gegevens niet kunnen beheren of beïnvloeden.

Door de ontdekte zwakke punten te misbruiken, konden aanvallers deze beveiligingsgrens omzeilen en rechtstreeks communiceren met verbonden services. Deze mogelijkheid opende de deur naar ongeautoriseerde data-extractie, -manipulatie en toegang tussen verschillende tenants, met gevolgen voor services zoals BigQuery en Google Sheets.

Hoewel de kwetsbaarheden inmiddels zijn verholpen, benadrukken de bevindingen het belang van een rigoureus beveiligingsontwerp in multi-tenant cloudplatformen, waar een enkele logische fout kan leiden tot een wijdverspreide blootstelling in alle omgevingen.

Trending

Meest bekeken

Bezig met laden...