Hunters Ekibi Axon tarafından Google Workspace’in alan adı çapında yetki verme özelliğinde keşfedilen bir tasarım hatası, saldırganların mevcut yetkileri kötüye kullanmasına, ayrıcalığın yükseltilmesine ve Süper Yönetici ayrıcalıkları olmadan Workspace API’lerine yetkisiz erişime olanak tanıyabilir. Bu tür bir istismar, Gmail’den e-postaların çalınmasına, Google Drive’dan veri sızdırılmasına veya hedef alandaki tüm kimlikler üzerinde Google Workspace API’leri içindeki diğer yetkisiz işlemlere yol açabilir.
DeleFriend’den pasaj: özel rollerin numaralandırılması
Alan çapında yetki verme, Google Cloud Platform (GCP) kimlik nesneleri ile Google Workspace uygulamaları arasında kapsamlı bir yetki verilmesine olanak tanır. Başka bir deyişle, GCP kimliklerinin diğer Workspace kullanıcıları adına Gmail, Google Takvim, Google Drive ve daha fazlası gibi Google SaaS uygulamalarındaki görevleri yürütmesine olanak tanır.
“DeleFriend” olarak adlandırılan tasarım kusuru, potansiyel saldırganların, Workspace’te yeni yetki oluşturmak için gerekli olan yüksek ayrıcalıklı Süper Yönetici rolüne sahip olmadan GCP ve Google Workspace’teki mevcut yetkileri değiştirmesine olanak tanıyor. Bunun yerine, hedef bir GCP projesine daha az ayrıcalıklı erişimle, farklı OAuth kapsamlarından oluşan çok sayıda JSON web belirteci (JWT) oluşturabilirler; böylece hizmet hesabının etki alanına sahip olduğunu gösteren özel anahtar çiftleri ve yetkili OAuth kapsamlarının başarılı kombinasyonlarını belirlemeyi amaçlarlar. geniş delegasyon etkinleştirildi.
Temel neden, etki alanı temsilci yapılandırmasının, hizmet hesabı kimlik nesnesiyle ilişkili belirli özel anahtarlar tarafından değil, hizmet hesabı kaynak tanımlayıcısı (OAuth ID) tarafından belirlenmesinde yatmaktadır.
Ek olarak, API düzeyinde JWT kombinasyonlarının bulanıklaştırılmasına yönelik herhangi bir kısıtlama uygulanmamıştır; bu, mevcut delegasyonların bulunması ve devralınması için çok sayıda seçeneğin numaralandırılması seçeneğini kısıtlamaz.
Bu kusur aşağıdakilerle daha da güçlendirilir:
Uzun yaşam: Varsayılan olarak, GCP Hizmeti hesap anahtarları son kullanma tarihi olmadan oluşturulur. Bu özellik onları arka kapıların oluşturulması ve uzun süreli kalıcılığın sağlanması için ideal kılar.
Gizlenmesi kolay: Mevcut IAM’ler için yeni hizmet hesabı anahtarları oluşturmanın veya API yetkilendirme sayfasında bir yetki verme kuralı ayarlamanın gizlenmesi kolaydır. Bunun nedeni, bu sayfaların genellikle yeterince ayrıntılı bir şekilde incelenmeyen çok çeşitli meşru girişleri barındırmasıdır.
Farkındalık: BT ve Güvenlik departmanları her zaman etki alanı çapında yetki verme özelliğinin farkında olmayabilir. Özellikle kötü niyetli suiistimal potansiyelinin farkında olmayabilirler.
Tespit edilmesi zor: Yetki verilen API çağrıları hedef kimlik adına oluşturulduğundan, API çağrıları kurban ayrıntılarıyla birlikte ilgili GWS denetim günlüklerine kaydedilecektir. Bu durum bu tür etkinliklerin tanımlanmasını zorlaştırmaktadır.
Saldırı yöntemini yürütmek için hedef Hizmet Hesaplarında belirli bir GCP iznine ihtiyaç vardır. Ancak Hunters, bu tür izinlerin kuruluşlarda alışılmadık bir uygulama olmadığını ve bu saldırı tekniğinin, GCP kaynaklarında bir güvenlik duruşu sağlamayan kuruluşlarda oldukça yaygın hale geldiğini gözlemledi. Kuruluşlar, en iyi uygulamalara bağlı kalarak ve izinleri ve kaynakları akıllıca yöneterek, saldırı yönteminin etkisini önemli ölçüde en aza indirebilir.
Hunters, kuruluşların DWD yanlış yapılandırmalarını tespit etmelerine, farkındalığı artırmalarına ve DeleFriend’in kötüye kullanım risklerini azaltmalarına yardımcı olmak için bir kavram kanıtlama aracı (tüm ayrıntılar tam araştırmaya dahil edilmiştir) oluşturdu. Bu aracı kullanarak kırmızı ekipler, kalem test uzmanları ve güvenlik araştırmacıları, Çalışma Alanlarının ve GCP ortamlarının güvenlik riskini ve duruşunu değerlendirmek (ve ardından iyileştirmek) için saldırıları simüle edebilir ve GCP IAM kullanıcılarının GCP Projelerindeki mevcut delegasyonlara giden savunmasız saldırı yollarını bulabilirler .
Avcılar, Ağustos ayında Google’ın “Hata Avcıları” programının bir parçası olarak DeleFriend’i sorumlu bir şekilde Google’a bildirdi ve uygun azaltma stratejilerini keşfetmek için Google’ın güvenlik ve ürün ekipleriyle yakın iş birliği yapıyor. Şu anda Google, tasarım kusurunu henüz çözebilmiş değil.