Google, bu hafta bir güvenlik sağlayıcısının Google Workspace’teki kullanıcıları veri hırsızlığı ve diğer olası güvenlik sorunları riskine sokan bariz bir tasarım zayıflığı hakkındaki raporuna itiraz ediyor.
Hunters Security’ye göre, Google Workspace’in alan adı çapında yetki verme özelliğindeki bir kusur, saldırganlara Gmail’den e-posta çalma, Google Drive’dan veri sızdırma ve hedeflenen alandaki tüm kimlikler üzerinde Google Workspace API’leri içinde diğer yetkisiz eylemler gerçekleştirme yolu sağlıyor.
Hunters’taki araştırmacılar bu hafta, bir saldırganın Google Cloud Platform (GCP) hizmetlerinin müşterilerine karşı çeşitli kötü amaçlı eylemler gerçekleştirmek için bu sorundan nasıl yararlanabileceğini göstermek amacıyla GitHub’da kavram kanıtı kodu yayınladı.
Ancak Google, Hunters’ın konuyu bir tasarım hatası olarak nitelendirmesini reddetti. Bir şirket sözcüsü, “Bu rapor ürünlerimizde temel bir güvenlik sorununu tespit etmiyor” dedi. “En iyi uygulama olarak, kullanıcılarımızı, tüm hesapların mümkün olan en az düzeyde ayrıcalığa sahip olduğundan emin olmaya teşvik ediyoruz (kılavuzluğa bakın) Burada). Bunu yapmak, bu tür saldırılarla mücadele etmenin anahtarıdır.”
“DeleFriend” Tehdidi
Hunters iddia edilen kusuru “DeleArkadaş” şeklinde tanımladı ve bunu, bir saldırganın Google Cloud Platform (GCP) ve Google Workspace’teki mevcut yetkileri, Süper Yönetici olmasına gerek kalmadan (genellikle yeni yetki oluşturmak için gerekli olduğu gibi) değiştirmesine olanak sağlamak olarak tanımladı. Bu kusur, saldırganlara arama yapma ve tanımlama için bir yol sağlıyor Hunters, bulgularıyla ilgili yayınında, Google hizmet hesaplarının alan adı çapında yetkilendirmelere sahip olduğunu ve ardından ayrıcalıkları artırdığını söyledi.
Güvenlik sağlayıcısı, “Temel neden, etki alanı temsilci yapılandırmasının, hizmet hesabı kimlik nesnesiyle ilişkili belirli özel anahtarlar tarafından değil, hizmet hesabı kaynak tanımlayıcısı (OAuth ID) tarafından belirlenmesinde yatmaktadır” dedi. Ayrıca, tüylenme için herhangi bir kısıtlama yoktur. [JSON Web Token] Hunters’a göre kombinasyonlar API düzeyinde uygulanıyor. Satıcı, bu durumun, saldırganların farklı OAuth kapsamlarına (veya önceden tanımlanmış erişim kurallarına) sahip çok sayıda JSON Web Tokenı oluşturmasına ve etki alanı çapında yetkilendirmenin etkin olduğu hizmet hesaplarını tanımlamaya çalışmasına olanak tanıdığını belirtti.
Etki alanı çapında yetkilendirme bir yöneticinin, bir uygulamaya veya hizmet hesabına alan adındaki kullanıcı verilerine erişim izni vermek için kullanabileceği bir Google Workspace özelliğidir. Amaç, belirli uygulamaların ve hizmet hesaplarının, her seferinde her kullanıcının açık iznini gerektirmeden kullanıcının verilerine erişmesine izin vermektir. Örneğin bir yönetici, kullanıcının takvimine etkinlik eklemek için Takvim uygulaması programlama arayüzünü kullanan bir uygulamaya bu tür bir erişim yetkisi verebilir. Google’a göre“Yetki verilmiş bir hizmet hesabı, Cloud Search’e erişimi olan kullanıcılar da dahil olmak üzere herhangi bir kullanıcının kimliğine bürünebilir.”
Hunters Security’nin keşfettiği sorun, temel olarak bir saldırgana, Google Workspace’te alan adı çapında yetkilendirme (DWD) etkinleştirilmiş GCP hizmet hesaplarını arama ve bulma yolu sağlıyor. Daha sonra etki alanındaki her kullanıcı adına çeşitli eylemler gerçekleştirmek için hizmet hesaplarını kullanabilirler. Bu, ayrıcalıkların sessizce yükseltilmesini, kalıcılığın sağlanmasını, verilere ve hizmetlere yetkisiz erişim sağlanmasını, verilerin değiştirilmesini, kullanıcıların kimliğine bürünülmesini ve Google Takvim’deki toplantıların izlenmesini içerebilir.
Hunters, “DWD’nin etkin olduğu, güvenliği ihlal edilmiş bir GCP hizmet hesabı anahtarı, hedef Çalışma Alanı alanındaki tüm kimlikler üzerinde API çağrıları gerçekleştirmek için kullanılabilir” dedi. “Olası eylemlerin aralığı, yetkilendirmenin OAuth kapsamlarına göre değişir.”
Kavram Kanıtı İstismarı
PoC’den yararlanma – aynı zamanda DeleFriend olarak da anılır – araştırmacıların keşfettiği OAuth heyeti saldırısına yöneliktir. Bir saldırganın Google Cloud Platform’da DWD özellikli hizmet hesaplarını otomatik olarak bulmak ve kötüye kullanmak için mevcut JWT kombinasyonlarını nasıl bulanıklaştırabileceğini göstermek üzere tasarlanmıştır.
Saldırgan, bir ortamdaki tüm GCP projelerini numaralandırmak, bu projelerle ilişkili tüm hizmet hesaplarını belirlemek ve halihazırda kimliği doğrulanmış bir kullanıcının erişebileceği hesapları belirlemek için PoC kodunu kullanabilir. Ayrıca, etki alanı çapında yetkilendirme ile mevcut bir hizmet hesabı için programlı olarak yeni özel anahtarlar oluşturabilen herhangi birinin olup olmadığını görmek için hizmet hesabına erişimi olanların rol izinlerini de kontrol eder.
PoC daha sonra bir saldırganın farklı kullanıcı hesaplarının kimliğine bürünmek ve bunlara erişmek için nasıl yeni bir özel anahtar oluşturabileceğini gösterir.
Güvenlik açığını sorunlu hale getiren şey, GCP hizmet hesabı anahtarlarının varsayılan olarak bir son kullanma tarihine sahip olmamasıdır; bu, bir saldırganın oluşturduğu yeni anahtarların muhtemelen uzun vadeli kalıcılığa olanak sağlayacağı anlamına gelir. Hunters, herhangi bir yeni hizmet hesabı anahtarının veya yeni bir yetki verme kuralı ayarının gizlenmesinin kolay olacağını ve anahtarlar kullanılarak yapılan API çağrılarının da aynı şekilde gizleneceğini söyledi.
Hunters Security, “Bu aracı kullanarak kırmızı ekipler, kalem test uzmanları ve güvenlik araştırmacıları, saldırıları simüle edebilir ve GCP IAM kullanıcılarının GCP Projelerindeki mevcut delegasyonlara giden savunmasız saldırı yollarını bulabilirler” dedi. Şirket, daha sonra Çalışma Alanları ve GCP ortamlarının güvenlik riskini ve duruşunu değerlendirip sıkılaştırabileceklerini belirtti.
Hunters Security araştırmacıları Ağustos ayında Google’ı DeleFriend sorunu hakkında bilgilendirdi ve tehdidi potansiyel olarak azaltmanın yollarını araştırmak için Google’ın ürün ve güvenlik ekipleriyle birlikte çalıştı. Hunters’a göre Google sorunu henüz çözmüş değil.