Google’ın Bulut Platformundaki (GCP) bir güvenlik açığı, siber saldırganların bir kurbanın Google hesabındaki kaldırılamaz, kötü amaçlı bir uygulamayı gizlemesine ve hesabı kalıcı, tespit edilemez bir bulaşmaya mahkum etmesine izin verebilirdi.
“GhostToken” olarak adlandırılan hata, Astrix Security araştırmacıları tarafından keşfedildi ve bildirildi. Ekip tarafından 20 Nisan’da yayınlanan bir analize göre, kötü amaçlı uygulama, kurbanın Gmail hesabını okumak, Google Drive ve Google Fotoğraflar’daki dosyalara erişmek, Google takvimini görüntülemek ve Google Haritalar aracılığıyla konumları izleme.
Bu bilgilerle donanmış olan saldırganlar, son derece ikna edici kimliğe bürünme ve kimlik avı saldırıları gerçekleştirebilir ve hatta kişiyi fiziksel tehlikeye atabilir.
“Daha da kötü durumlarda… saldırganlar Google Drive’dan dosya silebilir, sosyal mühendislik saldırıları gerçekleştirmek için kurbanın Gmail hesabından e-postalar yazabilir, [exfiltrate] araştırmacılar, gönderide Google Takvim, Fotoğraflar veya Dokümanlar ve daha fazlasından hassas veriler” yazdı.
Kurbanı ‘Hayaletleyen’ Bir Uygulama
Google Bulut Platformu, diğer uygulama ekosistemleri gibi kolayca indirilebilecekleri resmi bir mağazaya (bu durumda Google Marketplace) ve üçüncü taraf pazarlara sahip son kullanıcılar için binlerce uygulamadan herhangi birini barındırmak üzere tasarlanmıştır. Kullanıcı tarafından indirme yetkisi verildikten sonra, uygulama arka planda bir belirteç alır ve uygulamanın istediği izinlere göre yükleyicinin Google hesabına erişim sağlar.
Siber saldırganlar, GhostToken güvenlik açığını kullanarak, meşru bir yardımcı program veya hizmet kılığına girerek uygulama mağazalarından birine yerleştirebilecekleri kötü amaçlı bir uygulama oluşturabilir. Ancak uygulama indirildikten sonra, kurbanın Google hesabı uygulama yönetimi sayfasından kendini gizler.
Kullanıcı için temelde kaybolur.
Analize göre “Google kullanıcılarının uygulamalarını görebilecekleri ve erişimlerini iptal edebilecekleri tek yer burası olduğundan, istismar, kötü amaçlı uygulamayı Google hesabından kaldırılamaz hale getiriyor.” “Öte yandan saldırgan, dilediği gibi, uygulamasını gösterip kurbanın hesabına erişmek için belirteci kullanabilir ve ardından kaldırılamaz durumunu geri yüklemek için uygulamayı hızla tekrar gizleyebilir. Diğer bir deyişle, saldırgan bir ‘hayalet’ tutar. kurbanın hesabına jeton.”
Astrix araştırmacısı Idan Gour, kusurun hem işletmeler hem de bireyler için geniş kapsamlı sonuçları olabileceğini ve bulut uygulamalarının hayatımıza ne kadar erişim sağladığını ve tehlikeyi hatırlamak için bir uyandırma çağrısı olarak hizmet ettiğini söylüyor. BT’nin işletmeler için sahip olabileceği gölge.
“Bu özel güvenlik açığı, siber saldırganların bir yandan kurumsal GCP ortamlarına, diğer yandan da kişilerin kişisel Google Fotoğraflarına ve e-posta hesaplarına erişmesine olanak tanıyor” diyor. “Her gün her şey için kullandığımız bu farklı hizmetlerin aslında bu türlere eğilimli olduğunu hatırlamakta fayda var. [of] zorluklar ve her şey onu nasıl kullandığımızla ve diğer yandan onu nasıl güvence altına aldığımızla ilgili.”
Bir Hayaleti Takip Etmek
Araştırmacılar, ayrıntıların yetersiz olmasına rağmen, teknik sorunun genellikle Google’ın OAuth istemcilerini devre dışı bırakıldıklarında işleme biçiminden kaynaklandığını söyledi. Üçüncü taraf OAuth istemcileri, diğer güvenilir kullanıcılarla mevcut kimlik doğrulamasını kullanarak kullanıcıların daha kolay oturum açmasına olanak sağlamak için genellikle uygulamalara entegre edilir. Yaygın bir örnek, birçok web sitesi tarafından sunulan “Facebook ile oturum aç”dır.
Nasıl istismar edilebileceği konusuna gelince, Google Marketplace’te (veya diğer web sitelerinde) Google kullanıcılarına sunulan her uygulamanın, onu barındıran tek bir GCP “projesi” ile ilişkili olmasıyla başlar. GCP projesinin sahibi (genellikle geliştirici) projeyi silerse, Astrix’in “araf benzeri, silinmeyi bekleyen bir durum” olarak adlandırdığı duruma girer ve “tamamen temizlenip silinene kadar 30 gün boyunca bu şekilde kalır.”
Silinmeyi bekleyen bu projeler, sahibinin isteğine göre bu amaç için yapılmış özel bir sayfadan tamamen geri yüklenebilir. Ancak, son kullanıcılar için uygulama, “hesabınıza erişimi olan uygulamalar” yönetim sayfasından hemen kaybolur.
Böylece, saldırı senaryosu şöyle gider:
- Bir kurban, görünüşte meşru (ancak gerçekte kötü) bir OAuth uygulamasına yetki verir. Arka planda saldırgan, kurbanın Google hesabı için bir jeton alır.
- Saldırganlar, beklemede bir silme durumuna giren yetkili OAuth uygulamasıyla ilişkili projeyi siler; uygulama gizlenir ve kurbanın bakış açısından kaldırılamaz hale gelir.
- Saldırganlar kurbanın verilerine erişmek istediklerinde projeyi geri yüklerler, yeni bir erişim belirteci alırlar ve bunu kurbanın verilerine erişmek için kullanırlar.
- Saldırganlar daha sonra uygulamayı kurbandan hemen yeniden gizler.
- Kalıcılığı korumak için, bekleyen silme projesi temizlenmeden önce saldırı döngüsü periyodik olarak yürütülmelidir.
Araştırmacılar, “Saldırı döngüsünün 2. Adımı sırasında, ‘Hesabınıza erişimi olan uygulamalar’ sayfasında erişim yeniden görünür, bu da kurbanın bu zaman aralığında uygulamanın erişimini teknik olarak kaldırabileceği anlamına gelir.” “Ancak, saldırgan saldırı döngüsünün 1. Adımını tekrar yürütene kadar süren çok sınırlı bir zaman dilimi.”
Ebedi Kullanılabilirlik ve Güvenlik Savaşı
Gour, güvenlik açığının alışılmadık bir durum olduğunu belirtiyor çünkü görünüşte olması gerektiği gibi davranan temel bir özellikle ilgiliydi: Son kullanıcıları artık kullanamayacakları uygulamalarla ilgili notlarla boğmadan geliştiricilere esneklik sağlamak.
“Normalde güvenlik açıkları hakkında konuştuğumuzda, bunlar yalnızca yama yapabileceğiniz ve devam edebileceğiniz, bozulan şeylerdir” diye açıklıyor. “Ancak bu durumda, aslında GCP’nin temel bir özelliği ve GCP’de proje oluşturma şeklinizdi. Geçmişte yaptığınız ve silmek istemediğiniz şeylere geri dönebilmek gerçekten güzel. Öte yandan, biraz yaratıcılık ve çok basit bir yaklaşımla, kimlik ve erişim yönetiminin bu ortama (OAuth) entegre edilmiş harici bir üçüncü tarafça yapılma biçimini tamamen kırabilecek bir şeye dönüştürülebilir. .”
Gour, gerçekten de, hatanın, bir kurumsal ortamın tüm bölümlerinde hissedilen, kullanılabilirlik ve güvenlik arasında süregelen itme-çekmeye işaret ettiğini belirtiyor.
“Bulut güvenliğinin sonuçları, özellikle de günümüzde pek çok kişinin özel bilgilerine ve kuruluşlarına dokunduğu için, evet, bazen üretkenliğin veya kişisel hareketliliğin önüne geçiyor ve bizim istediğimiz bu mu?” diyor. “Bunları tasarım aşamasından itibaren düşünmeli ve kullanıcı için değer ile güvenlik arasındaki denge için özellikleri değerlendirmelisiniz. Her şey uygulanmadan ve yüzlerce veya binlerce insan onu kullanmadan önce bunu yapmak çok, çok, çok, daha kolay. .”
Ghost No More: Azaltma ve Yama
Bu ayın başlarında Google, silinmeyi bekleyen bir durumdaki uygulamaların bir kullanıcının uygulama yönetimi ekranında hala görünür olmasını sağlayarak sorunu çözen küresel bir yama yayınladı. Ancak Astrix araştırmacıları, aktif istismarın farkında olmasalar da Google Workspace yöneticilerinin, yama 7 Nisan’da başlatılmadan önce kullanıcılara saldırmış olabilecek uygulamaları aramaları gerektiği konusunda uyardı.
Araştırmacılar, bunun iki şekilde yapılabileceğini söyledi:
- İstemci kimliği ‘displayText’ alanıyla aynı olan uygulamaları aramak ve kötü niyetli oldukları kanıtlanırsa erişimlerini kaldırmak;
- Veya Google Workspace’in “Denetim ve İnceleme” özelliğindeki OAuth günlük etkinliklerini bu tür uygulamaların belirteç etkinliği açısından incelemek.