Son yıllarda bulut teknolojisinin benimsenmesinde bir artış yaşandı ve bu durum, Google’ın Etki Alanı Genelinde Yetkilendirme gibi araçların verimliliğinin altını çizdi.
GCP (Google Cloud Platform) kimliklerinin, Workspace kullanıcıları adına GWS (Google Workspace) uygulamalarında görevleri gerçekleştirmesine olanak tanıyarak iş süreçlerini kolaylaştırır.
Hunters’ Team Axon’daki siber güvenlik araştırmacıları kısa süre önce Google Workspace’in Alan Genelinde Yetkilendirmesinde “DeleFriend” olarak adlandırılan bir tasarım hatası buldu.
Bu kusur şunları sağlar: –
- Yanlış kullanım
- Ayrıcalık artışı
- Süper Yönetici hakları olmadan yetkisiz API erişimi
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
DeleFriend Ciddi Tasarım Kusuru
Google Cloud ve Workspace, Alan Genelinde Yetkilendirme aracılığıyla hayati bir bağlantıyı paylaşıyor. Google Cloud IAM dahili kaynak kontrolünü yönetirken Workspace, kullanıcı yönetimi için merkezi ‘merkez’dir.
Entegre kimlik kavramı, ister Workspace ister Cloud Identity aracılığıyla olsun, GCP hizmetleri için Okta veya Azure AD gibi üçüncü taraf IdP kullanan kuruluşlar için bile çok önemlidir.
Google Workspace’in Alan Genelinde Yetkilendirmesi, uygulamaların Workspace verilerine erişimini kolaylaştırır ve verimliliğin artırılmasına yardımcı olur.
OAuth 2.0 ile geliştiriciler, kişisel izin olmadan hizmet hesaplarına kullanıcı verilerine erişim izni verir; bu:-
- Hataları azaltır
- Görevleri otomatikleştirir
Aşağıda, Google Workspace’in oluşturulmasına izin verdiği ana global yetkilendirilmiş nesne kimliklerinin türlerinden bahsettik: –
- GWS Uygulamaları
- GCP Hizmet Hesabı
Google, yetkilendirilmiş yetkilendirme için diğer bulut sağlayıcılarını yansıtan OAuth 2.0 RFC 6749’u benimser. Bu, kimliklerin, kimlik bilgilerini açığa çıkarmadan Workspace REST API uygulamalarına izin vermesine olanak tanır.
Ancak bunun yanı sıra araştırmacılar iki senaryo yardımıyla kusuru gösterdiler ve aşağıda bu senaryolardan bahsettik:
- Senaryo 1 – Etkileşimli GWS erişimine sahip yeni yetkilendirme: Bu senaryoda, tehdit aktörü ilk IAM erişimini elde eder, GCP hizmet hesapları oluşturur, GWS süper yönetici ayrıcalığını kazanır ve sağlam kalıcılık ve sızma seçenekleri arar.
- Senaryo 2 – DeleFriend – Mevcut delegasyonun güvenliğinin ihlal edilmesi: Bu senaryoda, Süper Yönetici yetkisi gerektirmeden kısıtlı GCP haklarından Çalışma Alanına geçme çabası içinde güvenlik araştırmacıları, daha az ayrıcalıklarla GWS yetkisinin kötüye kullanımını araştırıyor.
Bu Saldırı Vektörünün Avantajları
Bu saldırı vektörünün tehdit aktörlerine getirdiği tüm avantajlardan aşağıda bahsettik:-
- Güçlü etki
- Uzun yaşam
- Gizlenmesi kolay
- Farkındalık
- Tespit edilmesi zor
Etki Azaltma Önerileri
Siber güvenlik araştırmacılarının önerdiği tüm risk azaltma önerilerini aşağıda belirttik: –
- Yapılandırma, özel anahtar yerine Hizmet Hesabının tamamını temel alır.
- API düzeyinde JWT numaralandırmasını engelleyin.
- Düzenleyici rolüne aşırı izin veren izin.
- Google API’lerine Yetki Verilen OAuth İsteklerini Tanımlayın.
- Tüm sorgu sonuçlarını incelediğinizden emin olun.
- Sorgu sonuçlarında belirtilen tüm etkin olmayan yetkilendirmelerin değerlendirilmesi gerekir.
- Bulunan GCP hizmet hesaplarının özel anahtarlarının uygun şekilde incelenmesi gerekir.
- Yetki beklendiği gibi ancak kullanılmıyorsa OAuth kapsamlarını kontrol edin.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.