LeakyLooker Güvenlik Açıkları

Siber güvenlik araştırmacıları, Google Looker Studio'da saldırganların kurbanların veritabanlarına karşı rastgele SQL sorguları yürütmesine ve Google Cloud Platform üzerinde çalışan kurumsal ortamlardan hassas bilgileri çıkarmasına olanak sağlayabilecek dokuz adet farklı platformda kullanılabilen güvenlik açığını ortaya çıkardı.

Bu güvenlik açıkları kümesi topluca LeakyLooker olarak adlandırılmıştır. Araştırmacılar, sorunları Haziran 2025'te sorumlu açıklama yoluyla bildirmiş ve o zamandan beri güvenlik açıkları giderilmiştir. Şu anda, bu zafiyetlerin gerçek dünyadaki saldırılarda kullanıldığına dair hiçbir kanıt bulunmamaktadır.

Güvenlik analistleri, bu kusurların platformun temel mimari varsayımlarını baltaladığını ve birden fazla bulut kiracısı genelinde verileri manipüle edebilen veya çıkarabilen, daha önce bilinmeyen bir saldırı türünü ortaya çıkardığını belirtiyor.

LeakyLooker Saldırı Yüzeyinin Ardındaki Dokuz Güvenlik Açığı

Araştırma, platformun ve veri bağlantı noktalarının farklı bileşenlerini etkileyen dokuz ayrı güvenlik açığı tespit etti. Bu güvenlik açıkları şunlardır:

• Veritabanı bağlantılarında sıfır tıklamalı SQL enjeksiyonu yoluyla kiracılar arası yetkisiz erişim
• Kaydedilmiş kimlik bilgilerini kullanarak sıfır tıklamalı SQL enjeksiyonu yoluyla kiracılar arası yetkisiz erişim.
• Yerel fonksiyonlar aracılığıyla BigQuery'yi hedef alan, farklı kullanıcılara yönelik SQL enjeksiyonu saldırısı.
• Köprü bağlantılar aracılığıyla farklı kiracılar arasındaki veri kaynaklarına erişim.
• Hedefin veri kaynağında özel sorgular kullanılarak Spanner ve BigQuery'yi etkileyen, kiracılar arası SQL enjeksiyonu saldırısı.
• Looker bağlantı API'si aracılığıyla gerçekleştirilen, BigQuery ve Spanner'ı etkileyen, farklı kiracılar arasında SQL enjeksiyonu saldırısı.
• Görüntü oluşturma yoluyla farklı kiracılar arasında veri sızıntısı
• Çerçeve sayımı ve zamanlamaya dayalı yan kanallar kullanan rastgele veri kaynaklarında çapraz kiracı XS-Leak hatası.
• BigQuery kaynak tüketimi yoluyla gerçekleştirilen, farklı kullanıcılara yönelik cüzdan dolandırıcılığı saldırıları.

Toplu olarak ele alındığında, bu sorunlar saldırganların Google Cloud ortamlarında çalışan hedef hizmetlerden veri almasına, veri eklemesine veya silmesine olanak sağlayabilir.

Veri Bağlantı Noktalarında Yaygın Maruz Kalma

Bu güvenlik açıkları, Looker Studio veri entegrasyonlarının geniş bir yelpazesini kullanan kuruluşlar için risk oluşturuyordu. Etkilenen ekosistem, kurumsal ortamlarda yaygın olarak kullanılan Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL ve Google Cloud Storage dahil olmak üzere birden fazla depolama platformunu ve veritabanını kapsıyordu.

Looker Studio panolarında bu bağlantı noktalarına güvenen herhangi bir kuruluş potansiyel olarak etkilenebilirdi, çünkü güvenlik açıkları saldırganların kiracı sınırlarını aşmasına ve farklı bulut projelerine ait kaynaklara erişmesine olanak tanıyordu.

İstismar Yolları: Kamu Raporlarından Veritabanı Kontrolüne

Araştırmacılar tarafından özetlenen saldırı senaryoları, saldırganların herkese açık kontrol panellerinden nasıl yararlanabileceğini veya özel olarak paylaşılan raporlara nasıl erişim sağlayabileceğini göstermektedir. Erişim sağlandıktan sonra, kötü niyetli kişiler güvenlik açıklarından yararlanarak bağlantılı veritabanlarının kontrolünü ele geçirebilirler.

Bir senaryoda, BigQuery gibi veri kaynaklarına bağlı, herkese açık Looker Studio raporlarının taranması söz konusuydu. Saldırganlar, enjeksiyon güvenlik açıklarından yararlanarak, proje sahibinin tüm bulut projesinde rastgele SQL sorguları çalıştırabilir ve büyük ölçekli veri çıkarma işlemi gerçekleştirebilirlerdi.

Bir diğer saldırı yolu, rapor kopyalama mekanizmasındaki mantıksal bir hatadan yararlanıyordu. Bir kurban, raporu herkese açık olarak veya belirli kullanıcılarla paylaştığında ve rapor PostgreSQL gibi JDBC tabanlı bir veri kaynağı kullandığında, saldırganlar orijinal sahibinin saklanan kimlik bilgilerini koruyarak raporu kopyalayabiliyordu. Bu hata, yetkisiz kullanıcıların veritabanı tablolarını değiştirme veya silme gibi eylemler gerçekleştirmesine olanak tanıyordu.

Araştırmacılar ayrıca tek tıklamayla veri sızdırmayı sağlayan yüksek etkili bir teknik de gösterdiler. Bu senaryoda, özel olarak hazırlanmış bir raporu açan bir kurban, saldırgan tarafından kontrol edilen bir projeyle iletişim kuran kötü amaçlı tarayıcı etkinliğini tetikledi. Saldırgan, log analizi ve yeniden yapılandırma yoluyla, ele geçirilen verilerden tüm veritabanlarını yeniden oluşturabildi.

Kırılan Güven Modeli: İzleyici İzinleri Platforma Karşı Kullanılıyor

Bu güvenlik açıkları, Looker Studio'nun temel tasarım prensiplerinden birini, yani görüntüleme düzeyinde erişime sahip kullanıcıların altta yatan verileri kontrol edemeyeceği veya etkileyemeyeceği varsayımını fiilen baltaladı.

Keşfedilen güvenlik açıklarından yararlanarak, saldırganlar bu güvenlik bariyerini aşabilir ve bağlı hizmetlerle doğrudan etkileşim kurabilirlerdi. Bu yetenek, yetkisiz veri çıkarma, manipülasyon ve farklı sunucular arası erişime olanak tanıyarak BigQuery ve Google Sheets gibi hizmetleri etkiledi.

Söz konusu güvenlik açıkları giderilmiş olsa da, bulgular, tek bir mantık hatasının geniş çaplı ortam çapında risklere yol açabileceği çok kullanıcılı bulut platformlarında titiz güvenlik tasarımının önemini vurgulamaktadır.