Hunters’ Team Axon’daki tehdit avcılığı uzmanları tarafından Google Workspace’in alan adı çapında yetki verme özelliğinde keşfedilen ciddi bir tasarım hatası, saldırganların mevcut yetkileri kötüye kullanmasına, ayrıcalığın yükseltilmesine ve Süper Yönetici ayrıcalıkları olmadan Workspace API’lerine yetkisiz erişime olanak tanıyabilir. Bu tür bir istismar, Gmail’den e-postaların çalınmasına, Google Drive’dan veri sızdırılmasına veya hedef alandaki tüm kimlikler üzerinde Google Workspace API’leri içindeki diğer yetkisiz işlemlere yol açabilir. Hunters bunu sorumlu bir şekilde Google’a açıkladı ve bu araştırmayı yayınlamadan önce onlarla yakın işbirliği içinde çalıştı.
Alan çapında yetki verme, Google Cloud Platform (GCP) kimlik nesneleri ile Google Workspace uygulamaları arasında kapsamlı bir yetki verilmesine olanak tanır. Başka bir deyişle, GCP kimliklerinin diğer Workspace kullanıcıları adına Gmail, Google Takvim, Google Drive ve daha fazlası gibi Google SaaS uygulamalarındaki görevleri yürütmesine olanak tanır.
Hunters ekibinin “DeleFriend” adını verdiği tasarım kusuru, potansiyel saldırganların, Workspace’te yeni yetki oluşturmak için gerekli olan yüksek ayrıcalıklı Süper Yönetici rolüne sahip olmadan GCP ve Google Workspace’teki mevcut yetkileri değiştirmesine olanak tanıyor. Bunun yerine, hedef bir GCP projesine daha az ayrıcalıklı erişimle, farklı OAuth kapsamlarından oluşan çok sayıda JSON web belirteci (JWT) oluşturabilirler; böylece hizmet hesabının etki alanına sahip olduğunu gösteren özel anahtar çiftleri ve yetkili OAuth kapsamlarının başarılı kombinasyonlarını belirlemeyi amaçlarlar. geniş delegasyon etkinleştirildi.
Temel neden, etki alanı temsilci yapılandırmasının, hizmet hesabı kimlik nesnesiyle ilişkili belirli özel anahtarlar tarafından değil, hizmet hesabı kaynak tanımlayıcısı (OAuth ID) tarafından belirlenmesinde yatmaktadır.
Ek olarak, API düzeyinde JWT kombinasyonlarının bulanıklaştırılmasına yönelik herhangi bir kısıtlama uygulanmamıştır; bu, mevcut delegasyonların bulunması ve devralınması için çok sayıda seçeneğin numaralandırılması seçeneğini kısıtlamaz.
Bu kusur, yukarıda açıklanan potansiyel etki nedeniyle özel bir risk oluşturur ve aşağıdaki faktörlerle daha da artar:
- Uzun yaşam: Varsayılan olarak, GCP Hizmeti hesap anahtarları son kullanma tarihi olmadan oluşturulur. Bu özellik onları arka kapıların oluşturulması ve uzun süreli kalıcılığın sağlanması için ideal kılar.
- Gizlenmesi kolay: Mevcut IAM’ler için yeni hizmet hesabı anahtarlarının oluşturulmasının veya alternatif olarak API yetkilendirme sayfasında bir yetkilendirme kuralının ayarlanmasının gizlenmesi kolaydır. Bunun nedeni, bu sayfaların genellikle yeterince ayrıntılı bir şekilde incelenmeyen çok çeşitli meşru girişleri barındırmasıdır.
- Farkındalık: BT ve Güvenlik departmanları her zaman etki alanı çapında yetki verme özelliğinin farkında olmayabilir. Özellikle kötü niyetli suiistimal potansiyelinin farkında olmayabilirler.
- Tespit edilmesi zor: Yetki verilen API çağrıları hedef kimlik adına oluşturulduğundan, API çağrıları kurban ayrıntılarıyla birlikte ilgili GWS denetim günlüklerine kaydedilecektir. Bu durum bu tür etkinliklerin tanımlanmasını zorlaştırmaktadır.
“Kötü niyetli aktörlerin etki alanı çapında yetkilendirmeyi kötüye kullanmasının potansiyel sonuçları ciddidir. Bireysel OAuth izninde olduğu gibi yalnızca tek bir kimliği etkilemek yerine, mevcut delegasyonla DWD’den yararlanmak, Workspace etki alanındaki her kimliği etkileyebilir,” diyor Hunters’ Team Axon’dan Yonatan Khanashvili.
Olası eylemlerin aralığı, yetkilendirmenin OAuth kapsamlarına göre değişir. Örneğin, Gmail’den e-posta hırsızlığı, sürücüden veri hırsızlığı veya Google Takvim’den toplantıları izleme.
Saldırı yöntemini yürütmek için hedef Hizmet Hesaplarında belirli bir GCP iznine ihtiyaç vardır. Ancak Hunters, GCP kaynaklarında bir güvenlik duruşu sağlamayan kuruluşlarda bu saldırı tekniğini oldukça yaygın hale getiren kuruluşlarda bu iznin alışılmadık bir uygulama olmadığını gözlemledi. Khanashvili şöyle devam etti: “En iyi uygulamalara bağlı kalarak ve izinleri ve kaynakları akıllıca yöneterek kuruluşlar, saldırı yönteminin etkisini önemli ölçüde en aza indirebilir.”
Hunters, kuruluşların DWD yanlış yapılandırmalarını tespit etmelerine, farkındalığı artırmalarına ve DeleFriend’in kötüye kullanım risklerini azaltmalarına yardımcı olmak için bir kavram kanıtlama aracı (tüm ayrıntılar tam araştırmaya dahil edilmiştir) oluşturdu. Bu aracı kullanarak kırmızı ekipler, kalem test uzmanları ve güvenlik araştırmacıları, Çalışma Alanlarının ve GCP ortamlarının güvenlik riskini ve duruşunu değerlendirmek (ve ardından iyileştirmek) için saldırıları simüle edebilir ve GCP IAM kullanıcılarının GCP Projelerindeki mevcut delegasyonlara giden savunmasız saldırı yollarını bulabilirler .
Hunters’ Team Axon ayrıca güvenlik açığının tam olarak nasıl çalıştığını ortaya koyan kapsamlı bir araştırmanın yanı sıra kapsamlı tehdit avı, tespit teknikleri ve alan çapında yetki verme saldırılarına karşı koymak için en iyi uygulamalara yönelik öneriler de derledi.
Avcılar, Ağustos ayında Google’ın “Hata Avcıları” programının bir parçası olarak DeleFriend’i sorumlu bir şekilde Google’a bildirdi ve uygun azaltma stratejilerini keşfetmek için Google’ın güvenlik ve ürün ekipleriyle yakın iş birliği yapıyor. Şu anda Google, tasarım kusurunu henüz çözebilmiş değil.
Araştırmanın tamamını buradan okuyun ve Hunters’ Team Axon’u Twitter’da takip edin.
Avcılar Hakkında
Hunters, güvenlik ekipleri için riski, karmaşıklığı ve maliyeti azaltan bir Güvenlik Operasyon Merkezi (SOC) Platformu sunuyor. Bir SIEM alternatifi olan Hunters SOC Platformu, veri alımı, yerleşik ve her zaman güncel tehdit tespiti ve otomatik korelasyon ve araştırma yetenekleri sunarak gerçek tehditleri anlama ve bunlara yanıt verme süresini en aza indirir. Booking.com, ChargePoint, Yext, Upwork ve Cimpress gibi kuruluşlar, güvenlik ekiplerini güçlendirmek için Hunters SOC Platformundan yararlanıyor. Hunters; Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), Microsoft’un girişim fonu M12, Blumberg Capital, Snowflake, Databricks ve Okta gibi önde gelen risk sermayedarları ve stratejik yatırımcılar tarafından desteklenmektedir.
Temas etmek
Yael Macias
[email protected]