BOSTON, MASS. ve TEL AVIV, İSRAİL, 28 Kasım 2023 – Google Workspace’in alan adı çapında yetki verme özelliğinde, tehdit avcılığı uzmanları tarafından keşfedilen ciddi bir tasarım hatası Avcılar Takımı Axonsaldırganların mevcut yetkilendirmeleri kötüye kullanmasına olanak tanıyarak ayrıcalık yükseltmeye ve Süper Yönetici ayrıcalıkları olmadan Workspace API’lerine yetkisiz erişime olanak tanıyabilir.
Bu tür bir saldırı, hedef alandaki tüm kimliklerin güvenliğini ihlal edebilir ve Gmail iletilerine, Google Drive’dan alınan verilere veya Google Workspace API ile ilgili diğer etkinliklere istenmeyen erişime yol açabilir. Hunters, sorumlu bir şekilde Google’ı bu konuda bilgilendirdi ve bulgularını yayınlamadan önce onlarla kapsamlı bir işbirliği yaptı.
Alanlar arasındaki yetkilendirme, Google Workspace uygulamaları ve Google Cloud Platform (GCP) kimlik nesneleri genelinde tam erişim yetkisi verilmesine olanak tanır. Başka bir deyişle, GCP kimliklerinin Gmail, Google Takvim, Google Drive ve daha fazlası gibi Google SaaS uygulamalarında diğer Workspace kullanıcıları adına hareket etmesine olanak tanır.
Hunters ekibinin “DeleFriend” olarak adlandırdığı tasarım güvenlik açığı, saldırganların, Workspace’te yeni yetki oluşturmak için gerekli olan yüksek ayrıcalıklı Süper Yönetici rolüne sahip olmasalar bile Google Cloud Platform ve Google Workspace’teki mevcut yetkileri değiştirmesine olanak tanıyor .
Belirli bir GCP projesine daha az ayrıcalıklı erişim kullanılarak farklı OAuth kapsamlarına sahip birden fazla JSON web jetonu (JWT) oluşturmak mümkündür. Amaç, hizmet hesabının etki alanı çapında yetkilendirmeyi etkinleştirdiğini belirtmek için özel anahtar çiftleri ve yetkili OAuth kapsamlarının doğru kombinasyonunu bulmaktır.
Bunun nedeni, etki alanı temsilci yapılandırmasını (OAuth ID) hizmet hesabı kimlik nesnesine bağlı özel anahtarlar yerine hizmet hesabı kaynak tanımlayıcısının belirlemesidir.
Ek olarak, API düzeyinde JWT kombinasyonlarının bulanıklaştırılmasına yönelik herhangi bir kısıtlama uygulanmamıştır; bu, mevcut delegasyonların bulunması ve devralınması için çok sayıda seçeneğin numaralandırılması seçeneğini kısıtlamaz.
Bu kusur, yukarıda açıklanan potansiyel etki nedeniyle özel bir risk oluşturur ve aşağıdaki faktörlerle daha da artar:
- Uzun yaşam: GCP Hizmeti hesapları için anahtarların oluşturulması, varsayılan olarak bir son kullanma tarihi içermez. Bu kalite, onları arka kapılar oluşturmak ve uzun ömürlerini garanti etmek için mükemmel kılar.
- Gizlenmesi kolay: API yetkilendirme sayfasında yetki verme kuralları koymak veya mevcut IAM’ler için yeni hizmet hesabı anahtarları oluşturmak gibi inceliklerin gizlenmesi kolaydır. Bunun nedeni, bu sitelerin genellikle yeterince iyi kontrol edilmemiş birkaç geçerli giriş içermesidir.
- Farkındalık: BT ve Güvenlik departmanları her zaman etki alanı çapında yetki verme özelliğinin farkında olmayabilir. Özellikle kötü niyetli suiistimal potansiyelinin farkında olmayabilirler.
- Tespit edilmesi zor: Yetki verilen API çağrıları hedef kimlik adına oluşturulduğundan, API çağrıları kurban ayrıntılarıyla birlikte ilgili GWS denetim günlüklerine kaydedilecektir. Bu durum bu tür etkinliklerin tanımlanmasını zorlaştırmaktadır.
“Kötü niyetli aktörlerin etki alanı çapındaki yetkilendirmeyi kötüye kullanması ciddi sonuçlar doğurabilir. Avcılar Ekibi Axon’dan Yonatan Khanashvili, bireysel OAuth izninin aksine, mevcut delegasyonla DWD’nin kötüye kullanılmasının Workspace alanı içindeki herhangi bir kimliğe zarar verebileceğini açıklıyor.
Yetkilendirmenin OAuth kapsamlarına bağlı olarak çeşitli eylemler gerçekleştirilebilir. Şu örnekleri göz önünde bulundurun: Google Takvim toplantı izleme, Gmail e-posta hırsızlığı ve Drive’dan veri hırsızlığı.
Hedef Hizmet Hesaplarının, saldırı tekniğini gerçekleştirmek için belirli bir GCP yetkilendirmesine ihtiyacı vardır. Avcılar, birçok kuruluşun bu tür izinleri rutin olarak sağladığını ve bu saldırı taktiğinin, GCP kaynaklarını güvence altına alamayan kuruluşlar arasında oldukça sık hale getirdiğini keşfetti. Khanashvili’nin belirttiği gibi, “kuruluşlar, en iyi uygulamaları takip ederek ve hakları ve kaynakları dikkatli bir şekilde yöneterek, saldırı yönteminin etkisini önemli ölçüde en aza indirebilir”.
Avcılar yarattı kavram kanıtlama aracı (tüm ayrıntılar araştırmanın tamamında yer almaktadır) kuruluşlara DWD yanlış yapılandırmalarını tespit etme, farkındalığı artırma ve DeleFriend’in kötüye kullanım risklerini azaltma konusunda yardımcı olmak için. Bu aracı kullanarak kırmızı ekipler, kalem test uzmanları ve güvenlik araştırmacıları, Çalışma Alanlarının ve GCP ortamlarının güvenlik riskini ve duruşunu değerlendirmek (ve ardından iyileştirmek) için saldırıları simüle edebilir ve GCP IAM kullanıcılarının GCP Projelerindeki mevcut delegasyonlara giden savunmasız saldırı yollarını bulabilirler .
Avcılar Takımı Axon da derledi kapsamlı araştırma Bu, güvenlik açığının tam olarak nasıl çalıştığının yanı sıra kapsamlı tehdit avcılığı, tespit teknikleri ve etki alanı çapında yetki verme saldırılarına karşı koymaya yönelik en iyi uygulamalara ilişkin önerileri ortaya koymaktadır.
Avcılar, Ağustos ayında Google’ın “Hata Avcıları” programının bir parçası olarak DeleFriend’i sorumlu bir şekilde Google’a bildirdi ve uygun azaltma stratejilerini keşfetmek için Google’ın güvenlik ve ürün ekipleriyle yakın iş birliği yapıyor. Şu anda Google, tasarım kusurunu henüz çözebilmiş değil.
Araştırmanın tamamını okuyun Buradave Hunters’ı takip edin Axon Takımı Twitter’da.
Avcılar Hakkında
Avcılar güvenlik ekipleri için riski, karmaşıklığı ve maliyeti azaltan bir Güvenlik Operasyon Merkezi (SOC) Platformu sunar. Bir SIEM alternatifi olan Hunters SOC Platformu, veri alımı, yerleşik ve her zaman güncel tehdit tespiti ve otomatik korelasyon ve araştırma yetenekleri sunarak gerçek tehditleri anlama ve bunlara yanıt verme süresini en aza indirir.
Booking.com, ChargePoint, Yext, Upwork ve Cimpress gibi kuruluşlar, güvenlik ekiplerini güçlendirmek için Hunters SOC Platformundan yararlanıyor. Hunters; Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), Microsoft’un girişim fonu M12, Blumberg Capital, Snowflake, Databricks ve Okta gibi önde gelen risk sermayedarları ve stratejik yatırımcılar tarafından desteklenmektedir.
Temas etmek
Yael Macias
[email protected]