Um conjunto de nove vulnerabilidades entre locatários no Google Looker Studio que poderiam ter permitido que invasores extraíssem ou manipulassem dados confidenciais da nuvem foi descoberto por pesquisadores de segurança cibernética.
As falhas, chamadas coletivamente de LeakyLooker pela Tenable Research, afetaram a plataforma de business intelligence baseada em nuvem, anteriormente conhecida como Data Studio, e dados potencialmente expostos armazenados em vários serviços do Google.
Os problemas poderia ter permitido que os invasores executassem consultas SQL arbitrárias nos bancos de dados das vítimas e acessassem conjuntos de dados em diferentes locatários da nuvem.
Looker Studio é amplamente utilizado para transformar dados brutos em painéis e relatórios visuais. Ele se conecta a várias fontes de dados, incluindo Google BigQuery, Planilhas Google e outros bancos de dados SQL. Como a plataforma se integra profundamente à infraestrutura do Google Cloud, os pesquisadores disseram que ela introduziu uma superfície de ataque incomumente ampla.
Dois caminhos de ataque separados
Os pesquisadores da Tenable identificaram pontos fracos na forma como o Looker Studio lidava com a autenticação e os conectores de dados. A plataforma permite que os relatórios recuperem dados usando as credenciais do proprietário do relatório ou do visualizador, dependendo da configuração.
Segundo os pesquisadores, essa arquitetura criou dois caminhos de ataque distintos que poderiam ser explorados por atores maliciosos.
-
Ataques sem clique direcionados às credenciais do proprietário: os invasores podem acionar consultas SQL executadas com a autenticação do proprietário do relatório por meio de solicitações elaboradas no lado do servidor
-
Ataques de 1 clique direcionados às credenciais do visualizador: as vítimas podem, sem saber, executar consultas SQL maliciosas ao abrir um relatório ou link manipulado
Essas técnicas de ataque foram possibilitadas por diversas vulnerabilidades subjacentes na plataforma, incluindo falhas de injeção de SQL em conectores de banco de dados, vazamentos de dados por meio de elementos de relatório, como hiperlinks ou imagens renderizadas, e um problema de negação de carteira que afetou os recursos do BigQuery.
Impacto potencial e resposta do Google
As vulnerabilidades afetaram conectores usados para vincular relatórios do Looker Studio a uma variedade de serviços em nuvem. Isso incluía BigQuery, Spanner, PostgreSQL, MySQL, Planilhas Google e Cloud Storage.
Os pesquisadores disseram que os invasores poderiam, teoricamente, procurar relatórios acessíveis ao público e usá-los como pontos de entrada para exfiltrar dados, inserir registros ou excluir tabelas em bancos de dados conectados.
Leia mais sobre vulnerabilidades de segurança na nuvem: Os invasores da nuvem agora preferem explorações de vulnerabilidades a credenciais, descobriu o Google Cloud
Em outro cenário, um recurso de cópia de relatório preservou as credenciais do banco de dados armazenadas quando duplicadas por um visualizador. Isso permitiu que o novo proprietário do relatório executasse consultas SQL personalizadas usando a autenticação original do banco de dados, mesmo sem saber a senha.
Todas as nove vulnerabilidades foram relatadas ao Google por meio de divulgação responsável. A empresa trabalhou com a Tenable para investigar as descobertas e implementar correções em toda a plataforma.
Como o Looker Studio é um serviço totalmente gerenciado, os patches foram implantados globalmente e nenhuma ação é necessária por parte dos clientes.
Os pesquisadores da Tenable observaram que as descobertas destacam como as plataformas analíticas podem se tornar pontos de entrada inesperados em ambientes de nuvem.
Eles aconselharam as organizações a revisar as configurações de compartilhamento de relatórios, limitar os conectores não utilizados e tratar as integrações de BI como parte de sua superfície de ataque à segurança.
Crédito da imagem: Stockinq/Shutterstock.com
Deseja saber mais sobre Segurança Clique Aqui!