Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Cenueshmëria LeakyLooker Vulnerabilities

LeakyLooker Vulnerabilities

Nga MezoCenueshmëria
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një sërë prej nëntë dobësish ndër-qiramarrëse në Google Looker Studio që mund t'u kenë mundësuar sulmuesve të ekzekutojnë pyetje arbitrare SQL kundër bazave të të dhënave të viktimave dhe të nxjerrin informacione të ndjeshme nga mjediset organizative që funksionojnë në Platformën Google Cloud.

Koleksioni i të metave është quajtur kolektivisht LeakyLooker. Studiuesit i raportuan problemet përmes deklarimit të përgjegjshëm në qershor 2025, dhe dobësitë janë ndrequr që atëherë. Aktualisht, nuk ka prova që tregojnë se këto dobësi janë shfrytëzuar në sulme në botën reale.

Analistët e sigurisë paralajmërojnë se të metat dëmtojnë supozimet kryesore arkitekturore në platformë dhe prezantojnë një klasë sulmesh të panjohura më parë, të afta për të manipuluar ose nxjerrë të dhëna nëpër shumë përdorues të cloud-it.

Nëntë dobësitë pas sulmit LeakyLooker Surface

Hulumtimi identifikoi nëntë të meta të dallueshme që prekin komponentë të ndryshëm të platformës dhe lidhësit e saj të të dhënave. Këto dobësi përfshijnë:

  • Qasje e paautorizuar ndër-qiramarrës përmes injeksionit SQL me zero-klik në lidhësit e bazës së të dhënave
  • Qasje e paautorizuar ndër-qiramarrës nëpërmjet injeksionit SQL me zero-klik duke përdorur kredencialet e ruajtura
  • Injeksion SQL ndër-qiramarrës që synon BigQuery përmes funksioneve native
  • Ekspozimi i burimeve të të dhënave ndër-qiramarrëse përmes hiperlidhjeve
  • Injeksioni SQL ndër-qiramarrës që ndikon në Spanner dhe BigQuery përmes pyetjeve të personalizuara në burimin e të dhënave të një viktime
  • Injeksion SQL ndër-qiramarrës përmes API-t të lidhjes Looker, duke ndikuar në BigQuery dhe Spanner
  • Rrjedhje e të dhënave midis qiramarrësve përmes renderimit të imazheve
  • XS-Leak me qira të ndërthurur në burime të dhënash arbitrare duke përdorur numërimin e kornizave dhe kanalet anësore të bazuara në kohëzim
  • Sulme të ndër-qiramarrësve për mohimin e portofolit përmes konsumit të burimeve BigQuery

Së bashku, këto probleme mund t'u lejojnë kundërshtarëve të marrin, fusin ose fshijnë të dhëna nga shërbimet e viktimave që veprojnë brenda mjediseve të Google Cloud.

Ekspozim i gjerë në të gjithë lidhësit e të dhënave

Dobësitë përbënin rreziqe për organizatat që përdorin një gamë të gjerë integrimesh të të dhënave të Looker Studio. Ekosistemi i prekur përfshin platforma të shumta ruajtjeje dhe baza të dhënash që përdoren zakonisht në mjediset e ndërmarrjeve, duke përfshirë Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL dhe Google Cloud Storage.

Çdo organizatë që mbështetet në këto lidhës në panelet e Looker Studio mund të jetë prekur potencialisht, pasi dobësitë i mundësuan sulmuesve të kalonin kufijtë e qiramarrësve dhe të kishin qasje në burime që i përkisnin projekteve të ndryshme në cloud.

Shtigjet e Shfrytëzimit: Nga Raportet Publike te Kontrolli i Bazës së të Dhënave

Skenarët e sulmeve të përshkruara nga studiuesit demonstrojnë se si sulmuesit mund të shfrytëzojnë panelet e aksesueshme publikisht ose të fitojnë akses në raportet e ndara privatisht. Pasi të fitohej aksesi, aktorët keqdashës mund të shfrytëzonin dobësitë për të marrë kontrollin e bazave të të dhënave të lidhura.

Një skenar përfshinte skanimin e raporteve të Looker Studio të aksesueshme publikisht, të lidhura me burime të dhënash si BigQuery. Përmes shfrytëzimit të të metave të injektimit, sulmuesit mund të ekzekutonin pyetje arbitrare SQL në të gjithë projektin cloud të pronarit, duke mundësuar nxjerrjen e të dhënave në shkallë të gjerë.

Një tjetër rrugë sulmi shfrytëzoi një të metë logjike në mekanizmin e kopjimit të raportit. Kur një viktimë ndau një raport, qoftë publikisht ose me përdorues të caktuar, dhe raporti përdorte një burim të dhënash të bazuar në JDBC, siç është PostgreSQL, sulmuesit mund ta dublikonin raportin duke ruajtur kredencialet e ruajtura të pronarit origjinal. Ky të metë u lejonte përdoruesve të paautorizuar të kryenin veprime të tilla si modifikimi ose fshirja e tabelave të bazës së të dhënave.

Studiuesit demonstruan gjithashtu një teknikë me ndikim të lartë që mundëson nxjerrjen e të dhënave me një klikim. Në këtë skenar, një viktimë që hapte një raport të hartuar posaçërisht shkaktoi aktivitet të keqdashës të shfletuesit që komunikonte me një projekt të kontrolluar nga sulmuesi. Përmes analizës dhe rindërtimit të regjistrave, sulmuesi mund të rindërtonte baza të tëra të dhënash nga të dhënat e kapura.

Modeli i Besimit të Thyer: Lejet e Shikuesit të Kthyera Kundër Platformës

Dobësitë në fakt minuan një parim thelbësor të dizajnit të Looker Studio: supozimin se përdoruesit me qasje në nivel shikuesi nuk mund të kontrollojnë ose ndikojnë në të dhënat themelore.

Duke shfrytëzuar dobësitë e zbuluara, sulmuesit mund të anashkalonin këtë kufi sigurie dhe të bashkëvepronin drejtpërdrejt me shërbimet e lidhura. Kjo aftësi hapi derën për nxjerrjen e paautorizuar të të dhënave, manipulimin dhe aksesin ndër-qiramarrës, duke ndikuar në shërbime të tilla si BigQuery dhe Google Sheets.

Edhe pse dobësitë tani janë korrigjuar, gjetjet nxjerrin në pah rëndësinë e dizajnit rigoroz të sigurisë në platformat cloud me shumë qiramarrës, ku një e metë e vetme logjike mund të shndërrohet në ekspozim të gjerë ndër-mjedisor.

Në trend

Më e shikuara

Po ngarkohet...