Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Pažeidžiamumas „LeakyLooker“ pažeidžiamumai

„LeakyLooker“ pažeidžiamumai

Autorius Mezo, Pažeidžiamumas
Versti į:

Kibernetinio saugumo tyrėjai atskleidė devynias „Google Looker Studio“ pažeidžiamumų, kurie galėjo leisti užpuolikams vykdyti savavališkas SQL užklausas aukų duomenų bazėse ir išgauti neskelbtiną informaciją iš organizacinių aplinkų, veikiančių „Google Cloud Platform“.

Šių trūkumų rinkinys buvo bendrai pavadintas „LeakyLooker“. Tyrėjai pranešė apie problemas atsakingai atskleisdami informaciją 2025 m. birželį, ir nuo to laiko pažeidžiamumai buvo ištaisyti. Šiuo metu nėra jokių įrodymų, kad šie trūkumai buvo išnaudoti realiose atakose.

Saugumo analitikai perspėja, kad šie trūkumai kenkia pagrindinėms platformos architektūrinėms prielaidoms ir įveda anksčiau neatpažintą atakų klasę, galinčią manipuliuoti duomenimis arba juos išgauti keliuose debesies nuomininkuose.

Devyni „LeakyLooker“ atakos paviršiaus pažeidžiamumai

Tyrimo metu nustatyti devyni skirtingi platformos ir jos duomenų jungčių komponentų trūkumai. Šie pažeidžiamumai apima:

  • Neteisėta prieiga tarp nuomininkų naudojant SQL injekciją be paspaudimų duomenų bazės jungtyse
  • Neteisėta prieiga tarp nuomininkų naudojant SQL injekciją be paspaudimų, naudojant saugomus kredencialus
  • SQL injekcija tarp nuomininkų, nukreipta į „BigQuery“ naudojant vietines funkcijas
  • Kelių nuomininkų duomenų šaltinių matomumas per hipersaitus
  • SQL injekcija tarp nuomininkų, paveikianti „Spanner“ ir „BigQuery“ per pasirinktines užklausas aukos duomenų šaltinyje
  • SQL injekcija tarp nuomininkų per „Looker“ susiejimo API, paveikianti „BigQuery“ ir „Spanner“
  • Duomenų nutekėjimas tarp nuomininkų per vaizdo generavimą
  • Kelių nuomininkų XS nutekėjimas atsitiktiniuose duomenų šaltiniuose naudojant kadrų skaičiavimą ir laiko pagrindu veikiančius šoninius kanalus
  • Kelių nuomininkų piniginės denial-of-wallet atakos naudojant „BigQuery“ išteklių naudojimą

Visos šios problemos gali leisti priešininkams gauti, įterpti arba ištrinti duomenis iš nukentėjusiųjų paslaugų, veikiančių „Google Cloud“ aplinkose.

Plačiai paplitęs poveikis duomenų jungtims

Šie pažeidžiamumai kėlė pavojų organizacijoms, naudojančioms įvairias „Looker Studio“ duomenų integracijas. Pažeista ekosistema apima kelias saugojimo platformas ir duomenų bazes, dažniausiai naudojamas įmonių aplinkoje, įskaitant „Google Sheets“, „Google BigQuery“, „Google Cloud Spanner“, „PostgreSQL“, „MySQL“ ir „Google Cloud Storage“.

Bet kuri organizacija, kuri naudojasi šiomis jungtimis „Looker Studio“ ataskaitų srityse, galėjo būti paveikta, nes pažeidžiamumai leido užpuolikams peržengti nuomininkų ribas ir pasiekti išteklius, priklausančius skirtingiems debesijos projektams.

Išnaudojimo keliai: nuo viešų ataskaitų iki duomenų bazės kontrolės

Tyrėjų aprašyti atakų scenarijai rodo, kaip užpuolikai gali pasinaudoti viešai prieinamomis ataskaitų suvestinėmis arba gauti prieigą prie privačiai bendrinamų ataskaitų. Gavę prieigą, kenkėjiški veikėjai gali pasinaudoti pažeidžiamumais, kad perimtų prijungtų duomenų bazių kontrolę.

Vienas scenarijus apėmė viešai prieinamų „Looker Studio“ ataskaitų, susietų su duomenų šaltiniais, tokiais kaip „BigQuery“, nuskaitymą. Pasinaudodami injekcijos trūkumais, užpuolikai galėjo vykdyti savavališkas SQL užklausas visame savininko debesies projekte, taip sudarydami sąlygas didelio masto duomenų išgavimui.

Kitas atakos būdas išnaudojo ataskaitų kopijavimo mechanizmo loginį trūkumą. Kai auka bendrino ataskaitą viešai arba su konkrečiais vartotojais, o ataskaitoje buvo naudojamas JDBC pagrįstas duomenų šaltinis, pvz., „PostgreSQL“, užpuolikai galėjo dubliuoti ataskaitą, išsaugodami pradinio savininko išsaugotus prisijungimo duomenis. Šis trūkumas leido neįgaliotiems vartotojams atlikti tokius veiksmus kaip duomenų bazės lentelių modifikavimas ar naikinimas.

Tyrėjai taip pat pademonstravo didelio poveikio techniką, leidžiančią vienu spustelėjimu išgauti duomenis. Šiuo atveju auka, atidariusi specialiai sukurtą ataskaitą, suaktyvino kenkėjišką naršyklės veiklą, kuri bendravo su užpuoliko valdomu projektu. Atlikdamas žurnalų analizę ir rekonstrukciją, užpuolikas galėjo atkurti ištisas duomenų bazes iš užfiksuotų duomenų.

Sugedęs pasitikėjimo modelis: žiūrovų teisės nukreiptos prieš platformą

Šie pažeidžiamumai iš esmės pakenkė pagrindiniam „Looker Studio“ projektavimo principui: prielaidai, kad vartotojai, turintys žiūrovo lygio prieigą, negali valdyti ar daryti įtakos pagrindiniams duomenims.

Pasinaudodami aptiktais trūkumais, užpuolikai galėjo apeiti šią saugumo ribą ir tiesiogiai sąveikauti su prijungtomis paslaugomis. Ši galimybė atvėrė duris neteisėtam duomenų išgavimui, manipuliavimui ir prieigai tarp nuomininkų, o tai paveikė tokias paslaugas kaip „BigQuery“ ir „Google Sheets“.

Nors pažeidžiamumai jau ištaisyti, išvados pabrėžia griežto saugumo projektavimo svarbą daugiafunkcinėse debesijos platformose, kur vienas loginis trūkumas gali sukelti platų poveikį keliose aplinkose.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
22,143
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...