Araştırmacılar, Google’ın Bulut Platformunun (GCP), tehdit aktörlerinin insanların hesaplarına ve burada bulunan tüm verilere (Gmail, Drive, Docs, Photos ve daha fazlası) erişmesine izin veren sıfır gün hatasına karşı savunmasız olduğunu söylüyor.
Astrix Security uzmanları, bir tehdit aktörünün kötü amaçlı bir Google Cloud Platform uygulaması oluşturabileceğini ve bunun Google Marketplace veya üçüncü taraf sağlayıcılar aracılığıyla reklamını yapabileceğini keşfetti.
Bir kullanıcı uygulamayı yükler, yetkilendirir ve bir OAuth jetonuna bağlarsa, saldırganların Google hesaplarına erişmesine izin verir.
Uygulamayı kurbanlardan gizleme
Tehdit aktörleri daha sonra uygulamayı görünmez hale getirebilir ve Google’ın uygulama yönetimi sayfasından gizleyerek kurbanların güvenlik açığını gidermesini imkansız hale getirebilir. Uygulamayı “gizleme” yöntemi, sıfır günün yattığı yerdir – saldırganlar, bağlantılı GCP projesini silerek, uygulamayı “silmeyi bekliyor” durumuna sokabilir ve böylece uygulama yönetimi sayfasında görünmez hale getirebilir.
“Burası, Google kullanıcılarının uygulamalarını görebilecekleri ve erişimlerini iptal edebilecekleri tek yer olduğundan, istismar, kötü niyetli (yeni sekmede açılır) Araştırmacılar, uygulamanın Google hesabından kaldırılamayacağını söyledi.
Ardından, saldırganlar uygun gördüklerinde projeyi geri yükleyebilir, yeni bir belirteç alabilir ve kurbanın hesabındaki verileri alabilirler. Dahası – bunu süresiz olarak yapabilirler. “Öte yandan saldırgan, dilediği gibi, uygulamasını gösterip kurbanın hesabına erişmek için belirteci kullanabilir ve ardından kaldırılamaz durumunu geri yüklemek için uygulamayı hızla tekrar gizleyebilir. Diğer bir deyişle, saldırgan bir ‘hayalet’ tutar. kurbanın hesabına jeton.”
Astrix kusuru aradı – GhostToken.
Kusurun etkisinin büyük ölçüde kurbanların kötü amaçlı uygulamalara verdiği izinlere bağlı olduğunu belirtmek de önemlidir.
Güvenlik açığı 2022 yazında keşfedildi ve bu yılın Nisan ayında giderildi. Artık silinmeyi bekleyen GCP OAuth uygulamaları “Hesabınıza erişimi olan uygulamalar” sayfasında görünmeye devam ediyor.
- İşte en iyi güvenlik duvarları listemiz (yeni sekmede açılır) dışarıda
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
