Luki w zabezpieczeniach LeakyLooker

Badacze zajmujący się bezpieczeństwem cybernetycznym ujawnili zestaw dziewięciu luk w zabezpieczeniach międzynajemców w usłudze Google Looker Studio, które mogły umożliwić atakującym wykonywanie dowolnych zapytań SQL w bazach danych ofiar i wyodrębnianie poufnych informacji ze środowisk organizacyjnych działających w oparciu o platformę Google Cloud Platform.

Zbiór luk został zbiorczo nazwany LeakyLooker. Badacze zgłosili te problemy poprzez odpowiedzialne ujawnienie w czerwcu 2025 roku, a luki zostały już usunięte. Obecnie nie ma dowodów wskazujących na to, że te słabości zostały wykorzystane w rzeczywistych atakach.

Analitycy ds. bezpieczeństwa ostrzegają, że luki te podważają podstawowe założenia architektoniczne platformy i wprowadzają nową, dotychczas nierozpoznaną klasę ataków, które mogą manipulować danymi lub je wyodrębniać w wielu chmurach.

Dziewięć luk w zabezpieczeniach kryjących się za atakiem LeakyLooker

Badania zidentyfikowały dziewięć odrębnych luk wpływających na różne komponenty platformy i jej łączniki danych. Luki te obejmują:

• Nieautoryzowany dostęp między dzierżawcami poprzez wstrzykiwanie kodu SQL bez kliknięcia w łączniki bazy danych
• Nieautoryzowany dostęp między dzierżawcami za pomocą wstrzykiwania kodu SQL bez kliknięcia przy użyciu zapisanych danych uwierzytelniających
• Wstrzykiwanie kodu SQL między dzierżawcami w celu ataków BigQuery za pośrednictwem funkcji natywnych
• Udostępnianie źródeł danych między dzierżawcami za pośrednictwem hiperłączy
• Atak typu cross-tenant SQL injection, który wpływa na usługi Spanner i BigQuery poprzez niestandardowe zapytania w źródle danych ofiary
• Atak typu cross-tenant SQL injection za pośrednictwem interfejsu API łączącego Looker, mający wpływ na usługi BigQuery i Spanner
• Wyciek danych między dzierżawcami poprzez renderowanie obrazu
• Wyciek XS między dzierżawcami na dowolnych źródłach danych z wykorzystaniem zliczania ramek i kanałów bocznych opartych na synchronizacji czasu
• Ataki typu „odmowa portfela” między dzierżawcami poprzez zużycie zasobów BigQuery

Łącznie problemy te mogą umożliwić atakującym pobieranie, wstawianie lub usuwanie danych z usług ofiar działających w środowiskach Google Cloud.

Szeroka ekspozycja na złącza danych

Luki w zabezpieczeniach stwarzały zagrożenie dla organizacji korzystających z szerokiej gamy integracji danych Looker Studio. Dotknięty nimi ekosystem obejmuje wiele platform pamięci masowej i baz danych powszechnie używanych w środowiskach korporacyjnych, w tym Arkusze Google, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL i Google Cloud Storage.

Każda organizacja wykorzystująca te łączniki w panelach Looker Studio potencjalnie może być narażona na ataki, ponieważ luki w zabezpieczeniach umożliwiają atakującym przekraczanie granic dzierżawców i uzyskiwanie dostępu do zasobów należących do różnych projektów w chmurze.

Ścieżki eksploatacji: od raportów publicznych do kontroli baz danych

Scenariusze ataków opisane przez badaczy pokazują, jak atakujący mogą wykorzystać publicznie dostępne pulpity nawigacyjne lub uzyskać dostęp do prywatnie udostępnianych raportów. Po uzyskaniu dostępu, atakujący mogą wykorzystać luki w zabezpieczeniach, aby przejąć kontrolę nad połączonymi bazami danych.

Jeden ze scenariuszy zakładał skanowanie w poszukiwaniu publicznie dostępnych raportów Looker Studio połączonych ze źródłami danych, takimi jak BigQuery. Wykorzystując luki w zabezpieczeniach, atakujący mogli wykonywać dowolne zapytania SQL w całym projekcie chmurowym właściciela, umożliwiając ekstrakcję danych na dużą skalę.

Inna ścieżka ataku wykorzystywała lukę logiczną w mechanizmie kopiowania raportów. Gdy ofiara udostępniła raport, publicznie lub określonym użytkownikom, a raport korzystał ze źródła danych opartego na JDBC, takiego jak PostgreSQL, atakujący mogli zduplikować raport, zachowując jednocześnie zapisane dane uwierzytelniające pierwotnego właściciela. Ta luka umożliwiała nieautoryzowanym użytkownikom wykonywanie czynności, takich jak modyfikowanie lub usuwanie tabel bazy danych.

Naukowcy zaprezentowali również wysoce skuteczną technikę umożliwiającą eksfiltrację danych jednym kliknięciem. W tym scenariuszu ofiara, która otworzyła specjalnie spreparowany raport, uruchomiła szkodliwą aktywność przeglądarki, która komunikowała się z projektem kontrolowanym przez atakującego. Poprzez analizę i rekonstrukcję logów, atakujący mógł odbudować całe bazy danych na podstawie przechwyconych danych.

Złamany model zaufania: uprawnienia widzów obrócone przeciwko platformie

Luki w zabezpieczeniach skutecznie podważyły podstawową zasadę projektowania Looker Studio: założenie, że użytkownicy mający dostęp na poziomie przeglądarki nie mogą kontrolować ani wpływać na podstawowe dane.

Wykorzystując odkryte luki, atakujący mogli ominąć tę barierę bezpieczeństwa i bezpośrednio wchodzić w interakcje z usługami połączonymi. Ta możliwość otwierała drzwi do nieautoryzowanego wydobywania danych, manipulacji nimi i dostępu między dzierżawcami, co wpływało na usługi takie jak BigQuery i Arkusze Google.

Chociaż luki w zabezpieczeniach zostały już załatane, wyniki badań podkreślają znaczenie rygorystycznego projektowania zabezpieczeń na platformach chmurowych obsługujących wielu użytkowników, gdzie pojedyncza wada logiczna może skutkować szerokim narażeniem na atak w wielu środowiskach.