BOSTON, MASS. ve TEL AVIV, İSRAİL, 28 Kasım 2023 – Hunters’ Team Axon’daki tehdit avcılığı uzmanları tarafından Google Workspace’in alan adı çapında yetki verme özelliğinde keşfedilen ciddi bir tasarım hatası, saldırganların mevcut yetkileri kötüye kullanmasına, ayrıcalığın yükseltilmesine ve Süper Yönetici ayrıcalıkları olmadan Workspace API’lerine yetkisiz erişime olanak tanıyabilir.
Bu tür bir saldırı, hedef alandaki tüm kullanıcılar için Gmail’den e-postaların, Google Drive’dan verilerin çalınmasına veya Google Workspace API’lerinde diğer yasa dışı faaliyetlere yol açabilir. Avcılar bunu Google’a sorumlu bir şekilde anlattı ve bu çalışmayı yayınlamadan önce onlarla yakın işbirliği içinde çalıştı.
Alan çapında yetkilendirme, Google Cloud Platform (GCP) kimlik nesnelerinin ve Google Workspace uygulamalarının tüm görevleri devretmesine olanak tanır. Örneğin, GCP hesaplarının Gmail, Google Takvim, Google Drive ve daha fazlası gibi Google SaaS uygulamalarında diğer Workspace kullanıcıları adına işlemler yapmasına olanak tanır.
Hunters ekibinin “DeleFriend” olarak adlandırdığı tasarım hatası, saldırganların GCP ve Google Workspace’teki mevcut yetkileri, Workspace’te yeni temsilciler oluşturmak için gereken Süper Yönetici rolüne sahip olmadan değiştirmesine olanak tanıyor.
Bunun yerine, hedef GCP projesine daha az erişim sayesinde farklı OAuth kapsamlarına sahip çok sayıda JSON web jetonu (JWT) oluşturabilirler. Amaç, hizmet hesabında alan çapında yetkilendirmenin açık olduğunu gösteren özel anahtar çiftleri ve yetkili OAuth kapsamlarının doğru karışımını bulmaktır.
Bunun ana nedeni, etki alanı aktarım kurulumunun, hizmet hesabı kimlik nesnesine bağlı özel anahtarlara değil, hizmet hesabı kaynak tanımlayıcısına (OAuth ID) dayalı olmasıdır.
Ayrıca JWT çiftlerinin API düzeyinde bulanıklaştırılmasına yönelik herhangi bir sınırlama getirilmemiştir. Bu, mevcut delegasyonları bulmanın ve devralmanın birçok yolu olduğu anlamına gelir.
Bu kusur, yukarıda açıklanan potansiyel etki nedeniyle özel bir risk oluşturur ve aşağıdaki faktörlerle daha da artar:
- Uzun yaşam: Varsayılan olarak, GCP Hizmeti hesap anahtarları son kullanma tarihi olmadan oluşturulur. Bu özellik onları arka kapıların oluşturulması ve uzun süreli kalıcılığın sağlanması için ideal kılar.
- Gizlenmesi kolay: Mevcut IAM’ler için yeni hizmet hesabı anahtarlarının oluşturulmasının veya alternatif olarak API yetkilendirme sayfasında bir yetkilendirme kuralının ayarlanmasının gizlenmesi kolaydır. Bunun nedeni, bu sayfaların genellikle yeterince ayrıntılı bir şekilde incelenmeyen çok çeşitli meşru girişleri barındırmasıdır.
- Farkındalık: BT ve Güvenlik departmanları her zaman etki alanı çapında yetki verme özelliğinin farkında olmayabilir. Özellikle kötü niyetli suiistimal potansiyelinin farkında olmayabilirler.
- Tespit edilmesi zor: Yetki verilen API çağrıları hedef kimlik adına oluşturulduğundan, API çağrıları kurban ayrıntılarıyla birlikte ilgili GWS denetim günlüklerine kaydedilecektir. Bu durum bu tür etkinliklerin tanımlanmasını zorlaştırmaktadır.
“Kötü niyetli aktörlerin etki alanı çapında yetkilendirmeyi kötüye kullanmasının potansiyel sonuçları ciddidir. Bireysel OAuth izninde olduğu gibi yalnızca tek bir kimliği etkilemek yerine, mevcut delegasyonla DWD’den yararlanmak, Workspace etki alanındaki her kimliği etkileyebilir,” diyor Hunters’ Team Axon’dan Yonatan Khanashvili.
Olası eylemlerin aralığı, yetkilendirmenin OAuth kapsamlarına göre değişir. Örneğin, Gmail’den e-posta hırsızlığı, sürücüden veri hırsızlığı veya Google Takvim’den toplantıları izleme.
Saldırı yöntemini yürütmek için hedef Hizmet Hesaplarında belirli bir GCP iznine ihtiyaç vardır. Ancak Hunters, GCP kaynaklarında bir güvenlik duruşu sağlamayan kuruluşlarda bu saldırı tekniğini oldukça yaygın hale getiren kuruluşlarda bu iznin alışılmadık bir uygulama olmadığını gözlemledi. Khanashvili şöyle devam etti: “En iyi uygulamalara bağlı kalarak ve izinleri ve kaynakları akıllıca yöneterek kuruluşlar, saldırı yönteminin etkisini önemli ölçüde en aza indirebilir.”
Hunters, kuruluşların DWD yanlış yapılandırmalarını tespit etmelerine, farkındalığı artırmalarına ve DeleFriend’in kötüye kullanım risklerini azaltmalarına yardımcı olmak için bir kavram kanıtlama aracı (tüm ayrıntılar tam araştırmaya dahil edilmiştir) oluşturdu. Bu aracı kullanarak kırmızı ekipler, kalem test uzmanları ve güvenlik araştırmacıları, Çalışma Alanlarının ve GCP ortamlarının güvenlik riskini ve duruşunu değerlendirmek (ve ardından iyileştirmek) için saldırıları simüle edebilir ve GCP IAM kullanıcılarının GCP Projelerindeki mevcut delegasyonlara giden savunmasız saldırı yollarını bulabilirler .
Hunters’ Team Axon ayrıca güvenlik açığının tam olarak nasıl çalıştığını ortaya koyan kapsamlı bir araştırmanın yanı sıra kapsamlı tehdit avı, tespit teknikleri ve alan çapında yetki verme saldırılarına karşı koymak için en iyi uygulamalara yönelik öneriler de derledi.
Avcılar, Ağustos ayında Google’ın “Hata Avcıları” programının bir parçası olarak DeleFriend’i sorumlu bir şekilde Google’a bildirdi ve uygun azaltma stratejilerini keşfetmek için Google’ın güvenlik ve ürün ekipleriyle yakın iş birliği yapıyor. Şu anda Google, tasarım kusurunu henüz çözebilmiş değil.
Araştırmanın tamamını buradan okuyun ve Hunters’ Team Axon’u Twitter’da takip edin.
Avcılar Hakkında
Hunters, güvenlik ekipleri için riski, karmaşıklığı ve maliyeti azaltan bir Güvenlik Operasyon Merkezi (SOC) Platformu sunuyor. Bir SIEM alternatifi olan Hunters SOC Platformu, veri alımı, yerleşik ve her zaman güncel tehdit tespiti ve otomatik korelasyon ve araştırma yetenekleri sunarak gerçek tehditleri anlama ve bunlara yanıt verme süresini en aza indirir.
Booking.com, ChargePoint, Yext, Upwork ve Cimpress gibi kuruluşlar, güvenlik ekiplerini güçlendirmek için Hunters SOC Platformundan yararlanıyor. Hunters; Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), Microsoft’un girişim fonu M12, Blumberg Capital, Snowflake, Databricks ve Okta gibi önde gelen risk sermayedarları ve stratejik yatırımcılar tarafından desteklenmektedir.
Temas etmek
Yael Macias
[email protected]