LeakyLooker Vulnerabilities

సైబర్ సెక్యూరిటీ పరిశోధకులు గూగుల్ లూకర్ స్టూడియోలో తొమ్మిది క్రాస్-టెనెంట్ దుర్బలత్వాల సమితిని వెల్లడించారు, ఇవి దాడి చేసేవారు బాధితుల డేటాబేస్‌లపై ఏకపక్ష SQL ప్రశ్నలను అమలు చేయడానికి మరియు గూగుల్ క్లౌడ్ ప్లాట్‌ఫామ్‌లో నడుస్తున్న సంస్థాగత వాతావరణాల నుండి సున్నితమైన సమాచారాన్ని సేకరించడానికి వీలు కల్పించే అవకాశం ఉంది.

లోపాల సేకరణకు సమిష్టిగా లీకీలూకర్ అని పేరు పెట్టారు. పరిశోధకులు జూన్ 2025లో బాధ్యతాయుతమైన బహిర్గతం ద్వారా సమస్యలను నివేదించారు మరియు అప్పటి నుండి దుర్బలత్వాలను సరిదిద్దారు. ప్రస్తుతం, ఈ బలహీనతలను వాస్తవ ప్రపంచ దాడులలో ఉపయోగించుకున్నారని సూచించే ఆధారాలు లేవు.

ఈ లోపాలు ప్లాట్‌ఫారమ్‌లోని ప్రధాన నిర్మాణ అంచనాలను దెబ్బతీస్తాయని మరియు బహుళ క్లౌడ్ అద్దెదారులలో డేటాను మార్చగల లేదా సంగ్రహించగల సామర్థ్యం ఉన్న గతంలో గుర్తించబడని దాడుల తరగతిని ప్రవేశపెడుతుందని భద్రతా విశ్లేషకులు హెచ్చరిస్తున్నారు.

లీకీలూకర్ దాడి ఉపరితలం వెనుక ఉన్న తొమ్మిది దుర్బలత్వాలు

ప్లాట్‌ఫామ్ యొక్క వివిధ భాగాలను మరియు దాని డేటా కనెక్టర్లను ప్రభావితం చేసే తొమ్మిది విభిన్న లోపాలను పరిశోధన గుర్తించింది. ఈ దుర్బలత్వాలలో ఇవి ఉన్నాయి:

• డేటాబేస్ కనెక్టర్లపై జీరో-క్లిక్ SQL ఇంజెక్షన్ ద్వారా క్రాస్-టెనెంట్ అనధికార యాక్సెస్
• నిల్వ చేసిన ఆధారాలను ఉపయోగించి జీరో-క్లిక్ SQL ఇంజెక్షన్ ద్వారా క్రాస్-టెనెంట్ అనధికార యాక్సెస్
• నేటివ్ ఫంక్షన్‌ల ద్వారా BigQueryని లక్ష్యంగా చేసుకునే క్రాస్-టెనెంట్ SQL ఇంజెక్షన్
• హైపర్‌లింక్‌ల ద్వారా క్రాస్-టెనెంట్ డేటా సోర్స్ ఎక్స్‌పోజర్
• బాధితుడి డేటా సోర్స్‌పై కస్టమ్ క్వెరీల ద్వారా స్పానర్ మరియు బిగ్‌క్వెరీలను ప్రభావితం చేసే క్రాస్-టెనెంట్ SQL ఇంజెక్షన్
• Looker లింకింగ్ API ద్వారా క్రాస్-టెనెంట్ SQL ఇంజెక్షన్, BigQuery మరియు Spannerలను ప్రభావితం చేస్తుంది.
• ఇమేజ్ రెండరింగ్ ద్వారా క్రాస్-అద్దెదారు డేటా లీకేజ్
• ఫ్రేమ్ కౌంటింగ్ మరియు టైమింగ్-ఆధారిత సైడ్ ఛానెల్‌లను ఉపయోగించి ఏకపక్ష డేటా మూలాలపై క్రాస్-టెనెంట్ XS-లీక్
• BigQuery వనరుల వినియోగం ద్వారా క్రాస్-టెనెంట్ డినైయల్-ఆఫ్-వాలెట్ దాడులు

సమిష్టిగా, ఈ సమస్యలు ప్రత్యర్థులు Google క్లౌడ్ పరిసరాలలో పనిచేసే బాధితుల సేవల నుండి డేటాను తిరిగి పొందడానికి, చొప్పించడానికి లేదా తొలగించడానికి అనుమతించవచ్చు.

డేటా కనెక్టర్ల అంతటా విస్తృతమైన ఎక్స్‌పోజర్

ఈ దుర్బలత్వాలు విస్తృత శ్రేణి Looker Studio డేటా ఇంటిగ్రేషన్‌లను ఉపయోగించే సంస్థలకు ప్రమాదాలను కలిగిస్తాయి. ప్రభావితమైన పర్యావరణ వ్యవస్థ Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL మరియు Google Cloud Storageతో సహా ఎంటర్‌ప్రైజ్ పరిసరాలలో సాధారణంగా ఉపయోగించే బహుళ నిల్వ ప్లాట్‌ఫారమ్‌లు మరియు డేటాబేస్‌లను విస్తరించి ఉంది.

లుకర్ స్టూడియో డాష్‌బోర్డ్‌లలో ఈ కనెక్టర్లపై ఆధారపడే ఏ సంస్థ అయినా ప్రభావితమయ్యే అవకాశం ఉంది, ఎందుకంటే దుర్బలత్వాలు దాడి చేసేవారికి అద్దెదారుల సరిహద్దులను దాటడానికి మరియు వివిధ క్లౌడ్ ప్రాజెక్ట్‌లకు చెందిన వనరులను యాక్సెస్ చేయడానికి వీలు కల్పించాయి.

దోపిడీ మార్గాలు: పబ్లిక్ రిపోర్ట్‌ల నుండి డేటాబేస్ నియంత్రణ వరకు

పరిశోధకులు వివరించిన దాడి దృశ్యాలు దాడి చేసేవారు బహిరంగంగా యాక్సెస్ చేయగల డాష్‌బోర్డ్‌లను ఎలా ఉపయోగించవచ్చో లేదా ప్రైవేట్‌గా షేర్ చేయబడిన నివేదికలను ఎలా పొందవచ్చో ప్రదర్శిస్తాయి. యాక్సెస్ పొందిన తర్వాత, హానికరమైన వ్యక్తులు అనుసంధానించబడిన డేటాబేస్‌ల నియంత్రణను స్వాధీనం చేసుకోవడానికి దుర్బలత్వాలను ఉపయోగించుకోవచ్చు.

ఒక సందర్భంలో BigQuery వంటి డేటా మూలాలకు అనుసంధానించబడిన బహిరంగంగా యాక్సెస్ చేయగల Looker Studio నివేదికల కోసం స్కాన్ చేయడం జరిగింది. ఇంజెక్షన్ లోపాలను దోపిడీ చేయడం ద్వారా, దాడి చేసేవారు యజమాని యొక్క మొత్తం క్లౌడ్ ప్రాజెక్ట్‌లో ఏకపక్ష SQL ప్రశ్నలను అమలు చేయగలరు, తద్వారా పెద్ద ఎత్తున డేటా సంగ్రహణ సాధ్యమవుతుంది.

మరొక దాడి మార్గం నివేదిక-కాపీ చేసే విధానంలో ఒక లాజిక్ లోపాన్ని ఉపయోగించుకుంది. బాధితుడు ఒక నివేదికను బహిరంగంగా లేదా నిర్దిష్ట వినియోగదారులతో పంచుకున్నప్పుడు మరియు నివేదిక PostgreSQL వంటి JDBC-ఆధారిత డేటా మూలాన్ని ఉపయోగించినప్పుడు, దాడి చేసేవారు అసలు యజమాని నిల్వ చేసిన ఆధారాలను నిలుపుకుంటూ నివేదికను నకిలీ చేయవచ్చు. ఈ లోపం అనధికార వినియోగదారులు డేటాబేస్ పట్టికలను సవరించడం లేదా తొలగించడం వంటి చర్యలను చేయడానికి అనుమతించింది.

పరిశోధకులు ఒక క్లిక్‌తో డేటా తొలగింపును అనుమతించే అధిక-ప్రభావ సాంకేతికతను కూడా ప్రదర్శించారు. ఈ సందర్భంలో, ప్రత్యేకంగా రూపొందించిన నివేదికను తెరిచిన బాధితుడు దాడి చేసేవారి నియంత్రణలో ఉన్న ప్రాజెక్ట్‌తో కమ్యూనికేట్ చేసే హానికరమైన బ్రౌజర్ కార్యాచరణను ప్రేరేపించాడు. లాగ్ విశ్లేషణ మరియు పునర్నిర్మాణం ద్వారా, దాడి చేసేవారు సంగ్రహించిన డేటా నుండి మొత్తం డేటాబేస్‌లను పునర్నిర్మించగలరు.

బ్రోకెన్ ట్రస్ట్ మోడల్: వీక్షకుల అనుమతులు ప్లాట్‌ఫామ్‌కు వ్యతిరేకంగా మారాయి

ఈ దుర్బలత్వాలు లుకర్ స్టూడియో యొక్క ప్రధాన రూపకల్పన సూత్రాన్ని సమర్థవంతంగా బలహీనపరిచాయి: వీక్షకుల స్థాయి యాక్సెస్ ఉన్న వినియోగదారులు అంతర్లీన డేటాను నియంత్రించలేరు లేదా ప్రభావితం చేయలేరు అనే భావన.

కనుగొనబడిన బలహీనతలను ఉపయోగించుకోవడం ద్వారా, దాడి చేసేవారు ఈ భద్రతా సరిహద్దును దాటవేసి కనెక్ట్ చేయబడిన సేవలతో నేరుగా సంభాషించవచ్చు. ఈ సామర్థ్యం అనధికార డేటా వెలికితీత, మానిప్యులేషన్ మరియు క్రాస్-టెనెంట్ యాక్సెస్‌కు తలుపులు తెరిచింది, ఇది BigQuery మరియు Google Sheets వంటి సేవలను ప్రభావితం చేస్తుంది.

దుర్బలత్వాలను ఇప్పుడు సరిదిద్దినప్పటికీ, బహుళ-అద్దెదారుల క్లౌడ్ ప్లాట్‌ఫామ్‌లలో కఠినమైన భద్రతా రూపకల్పన యొక్క ప్రాముఖ్యతను ఈ పరిశోధనలు హైలైట్ చేస్తాయి, ఇక్కడ ఒకే లాజిక్ లోపం విస్తృత క్రాస్-ఎన్విరాన్‌మెంట్ ఎక్స్‌పోజర్‌లోకి జారిపోతుంది.