Знижка на кілька ліцензій
База даних загроз Вразливість Вразливості LeakyLooker

Вразливості LeakyLooker

До Mezo року в Вразливість році
Перекласти на:

Дослідники з кібербезпеки виявили набір із дев'яти крос-тенантних вразливостей у Google Looker Studio, які могли дозволити зловмисникам виконувати довільні SQL-запити до баз даних жертв та витягувати конфіденційну інформацію з організаційних середовищ, що працюють на Google Cloud Platform.

Колекцію вразливостей спільно назвали LeakyLooker. Дослідники повідомили про проблеми через відповідальне розкриття інформації у червні 2025 року, і з того часу вразливості були виправлені. Наразі немає жодних доказів того, що ці вразливості були використані в реальних атаках.

Аналітики з безпеки попереджають, що ці недоліки підривають основні архітектурні припущення платформи та впроваджують раніше нерозпізнаний клас атак, здатних маніпулювати або витягувати дані між кількома хмарними орендарями.

Дев'ять вразливостей, що стоять за атакою LeakyLooker

Дослідження виявило дев'ять окремих недоліків, що впливають на різні компоненти платформи та її конектори даних. Ці вразливості включають:

  • Несанкціонований доступ між клієнтами через SQL-ін'єкції без натискання кнопки миші в конекторах бази даних
  • Несанкціонований доступ між клієнтами через SQL-ін'єкцію без кліку з використанням збережених облікових даних
  • Міжклієнтська SQL-ін'єкція, спрямована на BigQuery через нативні функції
  • Доступ до джерел даних між клієнтами через гіперпосилання
  • Міжклієнтська SQL-ін'єкція, що впливає на Spanner та BigQuery через користувацькі запити до джерела даних жертви
  • Міжклієнтська SQL-ін'єкція через Looker Linking API, що впливає на BigQuery та Spanner
  • Витік даних між орендарями через рендеринг зображень
  • Міжклієнтний XS-Leak на довільних джерелах даних з використанням підрахунку кадрів та бічних каналів на основі часу
  • Атаки типу «відмова в гаманці» між клієнтами через споживання ресурсів BigQuery

Разом ці проблеми можуть дозволити зловмисникам отримувати, вставляти або видаляти дані з сервісів жертв, що працюють у середовищах Google Cloud.

Широкий вплив на конектори даних

Ці вразливості становили ризики для організацій, які використовують широкий спектр інтеграцій даних Looker Studio. Уражена екосистема охоплює кілька платформ зберігання даних та баз даних, що зазвичай використовуються в корпоративних середовищах, включаючи Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL та Google Cloud Storage.

Будь-яка організація, яка покладається на ці конектори в інформаційних панелях Looker Studio, потенційно могла постраждати, оскільки вразливості дозволяли зловмисникам перетинати межі орендарів та отримувати доступ до ресурсів, що належать до різних хмарних проектів.

Шляхи експлуатації: від публічних звітів до контролю над базами даних

Сценарії атак, описані дослідниками, демонструють, як зловмисники можуть використовувати загальнодоступні інформаційні панелі або отримувати доступ до приватно опублікованих звітів. Після отримання доступу зловмисники можуть використовувати вразливості для захоплення контролю над підключеними базами даних.

Один із сценаріїв включав сканування загальнодоступних звітів Looker Studio, підключених до джерел даних, таких як BigQuery. Завдяки використанню недоліків ін'єкцій зловмисники могли виконувати довільні SQL-запити по всьому хмарному проєкту власника, що дозволяло масштабне вилучення даних.

Інший шлях атаки використовував логічну помилку в механізмі копіювання звітів. Коли жертва поширювала звіт публічно або з певними користувачами, і звіт використовував джерело даних на основі JDBC, таке як PostgreSQL, зловмисники могли дублювати звіт, зберігаючи при цьому збережені облікові дані оригінального власника. Ця помилка дозволяла неавторизованим користувачам виконувати такі дії, як зміна або видалення таблиць бази даних.

Дослідники також продемонстрували високоефективну техніку, що дозволяє витягувати дані одним клацанням миші. У цьому сценарії жертва, яка відкривала спеціально створений звіт, запускала шкідливу активність браузера, яка взаємодіяла з проектом, контрольованим зловмисником. За допомогою аналізу та реконструкції журналів зловмисник міг відновити цілі бази даних із захоплених даних.

Модель порушеної довіри: дозволи глядачів спрямовані проти платформи

Ці вразливості фактично підірвали основний принцип проектування Looker Studio: припущення, що користувачі з доступом на рівні перегляду не можуть контролювати або впливати на базові дані.

Використовуючи виявлені вразливості, зловмисники могли обійти цей бар'єр безпеки та безпосередньо взаємодіяти з підключеними сервісами. Ця можливість відкрила шлях для несанкціонованого вилучення даних, маніпуляцій та міжкористувацького доступу, впливаючи на такі сервіси, як BigQuery та Google Sheets.

Хоча вразливості вже виправлено, результати дослідження підкреслюють важливість ретельного проектування безпеки в хмарних платформах з кількома клієнтами, де один логічний недолік може призвести до широкого розповсюдження в різних середовищах.

В тренді

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
22,143
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...