LeakyLooker দুর্বলতা
সাইবার নিরাপত্তা গবেষকরা গুগল লুকার স্টুডিওতে নয়টি ক্রস-টেন্যান্ট দুর্বলতার একটি সেট প্রকাশ করেছেন যা আক্রমণকারীদের ক্ষতিগ্রস্থদের ডাটাবেসের বিরুদ্ধে নির্বিচারে SQL কোয়েরি চালানো এবং গুগল ক্লাউড প্ল্যাটফর্মে চলমান সাংগঠনিক পরিবেশ থেকে সংবেদনশীল তথ্য আহরণ করতে সক্ষম করতে পারে।
ত্রুটিগুলির সংগ্রহকে সম্মিলিতভাবে LeakyLooker নামকরণ করা হয়েছে। গবেষকরা ২০২৫ সালের জুন মাসে দায়িত্বশীল প্রকাশের মাধ্যমে সমস্যাগুলি রিপোর্ট করেছিলেন এবং তারপর থেকে দুর্বলতাগুলি সংশোধন করা হয়েছে। বর্তমানে, এমন কোনও প্রমাণ নেই যে বাস্তব-বিশ্বের আক্রমণে এই দুর্বলতাগুলি কাজে লাগানো হয়েছিল।
নিরাপত্তা বিশ্লেষকরা সতর্ক করে দিচ্ছেন যে ত্রুটিগুলি প্ল্যাটফর্মের মূল স্থাপত্য অনুমানকে দুর্বল করে দেয় এবং একাধিক ক্লাউড ভাড়াটেদের মধ্যে ডেটা ম্যানিপুলেট বা আহরণ করতে সক্ষম আক্রমণের একটি পূর্বে অচেনা শ্রেণীর পরিচয় দেয়।
সুচিপত্র
লিকিলুকার আক্রমণের পিছনে নয়টি দুর্বলতা
গবেষণায় প্ল্যাটফর্মের বিভিন্ন উপাদান এবং এর ডেটা সংযোগকারীগুলিকে প্রভাবিত করে এমন নয়টি স্বতন্ত্র ত্রুটি চিহ্নিত করা হয়েছে। এই দুর্বলতাগুলির মধ্যে রয়েছে:
- ডাটাবেস সংযোগকারীগুলিতে জিরো-ক্লিক SQL ইনজেকশনের মাধ্যমে ক্রস-টেন্যান্ট অননুমোদিত অ্যাক্সেস
- সঞ্চিত শংসাপত্র ব্যবহার করে জিরো-ক্লিক SQL ইনজেকশনের মাধ্যমে ক্রস-টেন্যান্ট অননুমোদিত অ্যাক্সেস
- নেটিভ ফাংশনের মাধ্যমে BigQuery কে লক্ষ্য করে ক্রস-টেন্যান্ট SQL ইনজেকশন
- হাইপারলিঙ্কের মাধ্যমে ক্রস-টেন্যান্ট ডেটা সোর্স এক্সপোজার
- একজন ভুক্তভোগীর ডেটা সোর্সে কাস্টম কোয়েরির মাধ্যমে স্প্যানার এবং বিগকুয়েরিকে প্রভাবিত করে ক্রস-টেন্যান্ট এসকিউএল ইনজেকশন
- লুকার লিঙ্কিং API এর মাধ্যমে ক্রস-টেন্যান্ট SQL ইনজেকশন, যা BigQuery এবং Spanner কে প্রভাবিত করে
- ইমেজ রেন্ডারিংয়ের মাধ্যমে ক্রস-টেন্যান্ট ডেটা লিকেজ
- ফ্রেম কাউন্টিং এবং টাইমিং-ভিত্তিক সাইড চ্যানেল ব্যবহার করে নির্বিচারে ডেটা উৎসের উপর ক্রস-টেন্যান্ট XS-লিক
- BigQuery রিসোর্স ব্যবহারের মাধ্যমে ক্রস-টেন্যান্ট ডিনায়েল-অফ-ওয়ালেট আক্রমণ
সামগ্রিকভাবে, এই সমস্যাগুলি প্রতিপক্ষকে গুগল ক্লাউড পরিবেশের মধ্যে পরিচালিত ভিকটিম পরিষেবাগুলি থেকে ডেটা পুনরুদ্ধার, সন্নিবেশ বা মুছে ফেলার সুযোগ দিতে পারে।
ডেটা সংযোগকারী জুড়ে বিস্তৃত এক্সপোজার
এই দুর্বলতাগুলি লুকার স্টুডিও ডেটা ইন্টিগ্রেশনের বিস্তৃত পরিসর ব্যবহারকারী প্রতিষ্ঠানগুলির জন্য ঝুঁকি তৈরি করেছে। প্রভাবিত ইকোসিস্টেমটি গুগল শিটস, গুগল বিগকুয়েরি, গুগল ক্লাউড স্প্যানার, পোস্টগ্রেএসকিউএল, মাইএসকিউএল এবং গুগল ক্লাউড স্টোরেজ সহ এন্টারপ্রাইজ পরিবেশে সাধারণত ব্যবহৃত একাধিক স্টোরেজ প্ল্যাটফর্ম এবং ডাটাবেসকে বিস্তৃত করে।
লুকার স্টুডিও ড্যাশবোর্ডে এই সংযোগকারীদের উপর নির্ভরশীল যেকোনো প্রতিষ্ঠান সম্ভাব্যভাবে প্রভাবিত হতে পারে, কারণ দুর্বলতাগুলি আক্রমণকারীদের ভাড়াটে সীমানা অতিক্রম করতে এবং বিভিন্ন ক্লাউড প্রকল্পের সম্পদ অ্যাক্সেস করতে সক্ষম করে।
শোষণের পথ: পাবলিক রিপোর্ট থেকে ডাটাবেস নিয়ন্ত্রণ পর্যন্ত
গবেষকদের দ্বারা বর্ণিত আক্রমণের পরিস্থিতিগুলি দেখায় যে আক্রমণকারীরা কীভাবে সর্বজনীনভাবে অ্যাক্সেসযোগ্য ড্যাশবোর্ডগুলিকে কাজে লাগাতে পারে বা ব্যক্তিগতভাবে ভাগ করা প্রতিবেদনগুলিতে অ্যাক্সেস পেতে পারে। একবার অ্যাক্সেস পেয়ে গেলে, দূষিত ব্যক্তিরা সংযুক্ত ডাটাবেসের নিয়ন্ত্রণ দখল করার জন্য দুর্বলতাগুলিকে কাজে লাগাতে পারে।
একটি দৃশ্যকল্পে BigQuery-এর মতো ডেটা উৎসের সাথে সংযুক্ত সর্বজনীনভাবে অ্যাক্সেসযোগ্য লুকার স্টুডিও রিপোর্টগুলির জন্য স্ক্যানিং অন্তর্ভুক্ত ছিল। ইনজেকশন ত্রুটিগুলি কাজে লাগিয়ে, আক্রমণকারীরা মালিকের সমগ্র ক্লাউড প্রকল্প জুড়ে নির্বিচারে SQL কোয়েরিগুলি কার্যকর করতে পারে, যার ফলে বৃহৎ আকারের ডেটা নিষ্কাশন সম্ভব হয়।
আরেকটি আক্রমণের পথ রিপোর্ট-কপি করার পদ্ধতির একটি যুক্তিগত ত্রুটিকে কাজে লাগিয়েছে। যখন কোনও ভুক্তভোগী একটি প্রতিবেদন প্রকাশ্যে বা নির্দিষ্ট ব্যবহারকারীদের সাথে ভাগ করে নেয় এবং প্রতিবেদনটি PostgreSQL এর মতো JDBC-ভিত্তিক ডেটা উৎস ব্যবহার করে, তখন আক্রমণকারীরা মূল মালিকের সঞ্চিত শংসাপত্রগুলি ধরে রেখে প্রতিবেদনটি নকল করতে পারে। এই ত্রুটি অননুমোদিত ব্যবহারকারীদের ডাটাবেস টেবিলগুলি পরিবর্তন বা মুছে ফেলার মতো কাজ সম্পাদন করার অনুমতি দেয়।
গবেষকরা একটি উচ্চ-প্রভাবশালী কৌশলও প্রদর্শন করেছেন যা এক-ক্লিক ডেটা এক্সফিল্ট্রেশন সক্ষম করে। এই পরিস্থিতিতে, একজন ভুক্তভোগী যিনি বিশেষভাবে তৈরি একটি প্রতিবেদন খুলেছিলেন তার ফলে ক্ষতিকারক ব্রাউজার কার্যকলাপ শুরু হয়েছিল যা আক্রমণকারী-নিয়ন্ত্রিত প্রকল্পের সাথে যোগাযোগ করেছিল। লগ বিশ্লেষণ এবং পুনর্গঠনের মাধ্যমে, আক্রমণকারী ক্যাপচার করা ডেটা থেকে সম্পূর্ণ ডাটাবেস পুনর্নির্মাণ করতে পারে।
ভাঙা বিশ্বাস মডেল: দর্শকদের অনুমতি প্ল্যাটফর্মের বিরুদ্ধে পরিণত হয়েছে
দুর্বলতাগুলি লুকার স্টুডিওর একটি মূল নকশা নীতিকে কার্যকরভাবে ক্ষুণ্ন করেছে: এই ধারণা যে দর্শক-স্তরের অ্যাক্সেস সহ ব্যবহারকারীরা অন্তর্নিহিত ডেটা নিয়ন্ত্রণ বা প্রভাবিত করতে পারে না।
আবিষ্কৃত দুর্বলতাগুলিকে কাজে লাগিয়ে, আক্রমণকারীরা এই সুরক্ষা সীমানা অতিক্রম করতে পারে এবং সংযুক্ত পরিষেবাগুলির সাথে সরাসরি যোগাযোগ করতে পারে। এই ক্ষমতা অননুমোদিত ডেটা নিষ্কাশন, হেরফের এবং ক্রস-টেন্যান্ট অ্যাক্সেসের দরজা খুলে দেয়, যা BigQuery এবং Google Sheets-এর মতো পরিষেবাগুলিকে প্রভাবিত করে।
যদিও দুর্বলতাগুলি এখন প্যাচ করা হয়েছে, অনুসন্ধানগুলি বহু-ভাড়াটে ক্লাউড প্ল্যাটফর্মগুলিতে কঠোর সুরক্ষা নকশার গুরুত্ব তুলে ধরে, যেখানে একটি একক যুক্তিগত ত্রুটি বিস্তৃত ক্রস-এনভায়রনমেন্ট এক্সপোজারে ক্যাসকেড করতে পারে।
