Google vaidlustab sel nädalal turbemüüja aruande Google Workspace'i ilmse disaininõrkuse kohta, mis seab kasutajad andmete varguse ja muude võimalike turvaprobleemide ohtu.
Hunters Security andmetel annab viga Google Workspace'i domeeniülese delegeerimise funktsioonis ründajatele võimaluse varastada Gmailist meile, andmeid Google Drive'ist välja filtreerida ja teha muid volitamata toiminguid Google Workspace'i API-des kõigi sihitud domeeni identiteetide puhul.
Huntersi teadlased avaldasid sel nädalal GitHubis kontseptsiooni tõestuskoodi, et näidata, kuidas ründaja võib probleemi potentsiaalselt ära kasutada Google Cloud Platformi (GCP) teenuste klientide vastu mitmesuguste pahatahtlike toimingute sooritamiseks.
Google aga lükkas tagasi selle, et Hunters kirjeldas probleemi disainiveana. "See aruanne ei tuvasta meie toodete turvaprobleemi," ütles ettevõtte pressiesindaja. "Hea tavana julgustame kasutajaid tagama, et kõigil kontodel oleks võimalikult vähe privileege (vt juhiseid siin). See on seda tüüpi rünnakute vastu võitlemisel võtmetähtsusega.
"DeleFriend" oht
Hunters on nimetanud väidetavat viga kui "Kustuta sõber” ja kirjeldas, et see võimaldab ründajal manipuleerida olemasolevate delegatsioonidega Google Cloud Platformis (GCP) ja Google Workspace'is, ilma et oleks vaja olla superadministraator – nagu tavaliselt uute delegatsioonide loomiseks nõutakse. Viga annab ründajatele võimaluse otsida ja tuvastada Google'i teenusekontosid koos domeeniüleste delegatsioonidega ning seejärel suurendada privileege, ütles Hunters oma leidude kohta avaldatud postituses.
"Põhjus peitub selles, et domeeni delegeerimise konfiguratsiooni määrab teenusekonto ressursi identifikaator (OAuth ID), mitte teenusekonto identiteediobjektiga seotud konkreetsed privaatvõtmed," märkis turbemüüja. Lisaks ei rakendata Huntersi sõnul API tasemel mingeid piiranguid [JSON Web Token] kombinatsioonide segamiseks. See võimaldab ründajatel luua arvukalt JSON-i veebimärke erinevate OAuthi ulatustega (või eelmääratletud juurdepääsureeglitega), et proovida tuvastada teenusekontosid, millel on lubatud domeeniülene delegeerimine, märkis tarnija.
Domeeniülene delegatsioon on Google Workspace'i funktsioon, mida administraator saab kasutada, et anda rakendusele või teenusekontole juurdepääs domeeni kasutajaandmetele. Eesmärk on võimaldada teatud rakendustel ja teenusekontodel pääseda juurde kasutaja andmetele, ilma et oleks vaja igalt kasutajalt iga kord selgesõnalist luba. Näiteks võib administraator delegeerida sellise juurdepääsu rakendusele, mis kasutab kasutaja kalendrisse sündmuste lisamiseks kalendrirakenduse programmeerimisliidest. Vastavalt Google, "volitatud volitustega teenusekonto võib esineda mis tahes kasutajana, sealhulgas kasutajana, kellel on juurdepääs pilvotsingule."
Probleem, mille Hunters Security avastas, annab ründajale põhimõtteliselt võimaluse otsida ja leida GCP-teenuse kontosid, millel on Google Workspace'is lubatud domeeniülene delegeerimine (DWD). Seejärel saavad nad teenusekontosid kasutada domeeni iga kasutaja nimel mitmesuguste toimingute tegemiseks. See võib hõlmata õiguste vaikset suurendamist, püsivuse loomist, andmetele ja teenustele volitamata juurdepääsu saamist, andmete muutmist, kasutajate esinemist ja koosolekute jälgimist Google'i kalendris.
"Rakitud GCP teenusekonto võtit, millel on lubatud DWD, saab kasutada API-kõnede tegemiseks kõigi sihttööruumi domeeni identiteetide jaoks, " ütles Hunters. "Võimalike toimingute hulk varieerub sõltuvalt delegatsiooni OAuthi ulatustest."
Kontseptsiooni tõestamise kasutamine
. PoC ärakasutamine - mida nimetatakse ka DeleFriendiks - on mõeldud OAuthi delegatsiooni rünnaku jaoks, mille teadlased avastasid. Selle eesmärk on näidata, kuidas ründaja saab olemasolevaid JWT-kombinatsioone segada, et automaatselt leida ja kuritarvitada Google Cloud Platformis DWD-toega teenusekontosid.
Ründaja võib kasutada PoC-koodi, et loetleda kõik keskkonnas olevad GCP-projektid, tuvastada kõik nende projektidega seotud teenusekontod ja tuvastada kontod, millele praegu autentitud kasutajal võib olla juurdepääs. Samuti kontrollib see teenusekontole juurdepääsu omavate inimeste rolliõigusi, et näha, kas kellelgi on võimalik olemasolevale teenusekontole programmiliselt uusi privaatvõtmeid genereerida koos domeeniülese delegeerimisega.
Seejärel näitab PoC, kuidas ründaja saab luua uue privaatvõtme, et kehastuda ja pääseda juurde erinevatele kasutajakontodele.
Haavatavuse muudab problemaatiliseks see, et GCP teenusekonto võtmetel ei ole vaikimisi aegumiskuupäeva – mis tähendab, et kõik ründaja loodud värsked võtmed võimaldavad tõenäoliselt pikaajalist püsivust. Hunters ütles, et kõiki uusi teenusekonto võtmeid või uue delegeerimisreegli seadistust on tõenäoliselt lihtne peita, nagu ka kõiki võtmete abil tehtud API-kõnesid.
"Selle tööriista abil saavad punased meeskonnad, pliiatsi testijad ja turbeuurijad simuleerida rünnakuid ja leida GCP IAM-i kasutajate haavatavad rünnakuteed nende GCP-projektides olemasolevatele delegatsioonidele," ütles Hunters Security. Seejärel saavad nad hinnata ja karmistada oma tööruumi ja GCP-keskkondade turvariski ja positsiooni, märkis ettevõte.
Huntersi turvalisuse teadlased teavitasid Google'it DeleFriendi probleemist augustis ning tegid koostööd Google'i toote- ja turvameeskondadega, et uurida võimalusi ohu leevendamiseks. Huntersi sõnul pole Google probleemi veel lahendanud.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cloud-security/vendor-claims-design-flaw-in-google-workspace-is-putting-organizations-at-risk
- :on
- :on
- :mitte
- a
- võime
- MEIST
- kuritarvitamise
- juurdepääs
- Juurdepääs andmetele
- Vastavalt
- konto
- Kontod
- meetmete
- lisama
- Lisaks
- admin
- vastu
- Materjal: BPA ja flataatide vaba plastik
- väidetavalt
- võimaldama
- võimaldab
- Ka
- summa
- an
- ja
- mistahes
- keegi
- API
- API-liidesed
- ilmne
- taotlus
- apps
- OLEME
- AS
- seotud
- At
- rünnak
- Reageerib
- AUGUST
- autenditud
- asutus
- automaatselt
- põhineb
- Põhimõtteliselt
- BE
- nimel
- BEST
- by
- kalender
- Kutsub
- CAN
- Põhjus
- kindel
- Kontroll
- nõudma
- Cloud
- Pilveplatvorm
- kood
- võitlus
- kombinatsioonid
- ettevõte
- Kompromissitud
- konfiguratsioon
- võiks
- looma
- loob
- loomine
- Praegu
- Kliendid
- andmed
- kuupäev
- vaikimisi
- delegeerimine
- näitama
- kirjeldatud
- Disain
- kavandatud
- kindlaksmääratud
- erinev
- avastasin
- ei
- teeme
- domeen
- don
- ajam
- dubleeritud
- iga
- lihtne
- võimaldama
- lubatud
- võimaldades
- julgustama
- keskkond
- keskkondades
- eskaleeruma
- asutades
- Eeter (ETH)
- hindama
- sündmused
- näide
- täitma
- olemasolevate
- aegumine
- Ekspluateeri
- uurima
- asjaolu
- tunnusjoon
- leidma
- järeldused
- viga
- eest
- värske
- Alates
- kasumi saamine
- GCP
- tekitama
- GitHub
- annab
- gmail
- eesmärk
- Google Cloud
- Google Cloud Platform
- anda
- Olema
- varjama
- Kuidas
- aga
- HTTPS
- IAM
- ID
- tunnus
- identifitseerima
- identiteedid
- Identity
- if
- rakendatud
- in
- sisaldama
- Kaasa arvatud
- teavitatakse
- Interface
- probleem
- küsimustes
- IT
- ITS
- jpg
- Json
- Jwt
- Võti
- võtmed
- kõige vähem
- Tase
- peitub
- Tõenäoliselt
- pikaajaline
- tehtud
- tegema
- TEEB
- vahendid
- kohtumised
- võib
- Leevendada
- järelevalve
- vajav
- Uus
- ei
- märkida
- arvukad
- oauth
- objekt
- of
- on
- or
- organisatsioonid
- Muu
- meie
- teed
- täitma
- luba
- Õigused
- püsivus
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- PoC
- võimalik
- post
- potentsiaal
- potentsiaalselt
- tava
- era-
- Private Key
- Privaatvõtmed
- privileeg
- privileegid
- Toode
- Toodet
- Programming
- projektid
- Paneb
- vaikselt
- valik
- Red
- Tagasi lükatud..
- vabastatud
- aru
- nõutav
- Teadlased
- lahendatud
- ressurss
- piirangud
- Oht
- Roll
- juur
- Eeskiri
- eeskirjade
- s
- Ütlesin
- Otsing
- turvalisus
- turvalisuse uurijad
- vaata
- teenus
- Teenused
- kehtestamine
- näitama
- Näitused
- So
- konkreetse
- selline
- super
- kindel
- T
- Võtma
- sihtmärk
- suunatud
- meeskonnad
- testijad
- et
- .
- vargus
- oma
- SIIS
- Need
- nad
- see
- sel nädalal
- need
- oht
- pingutage
- aeg
- et
- sümboolne
- märgid
- tööriist
- püüdma
- liigid
- volitamata
- aluseks
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- tavaliselt
- sort
- müüja
- haavatavus
- Haavatav
- Tee..
- kuidas
- we
- nõrkus
- web
- nädal
- mis
- WHO
- lai
- will
- koos
- jooksul
- ilma
- töötas
- veel
- sephyrnet