بوسطن، ماساتشوستس، 28 نوفمبر 2023، Cyberwire
تم اكتشاف عيب خطير في التصميم في ميزة التفويض على مستوى النطاق في Google Workspace بواسطة خبراء البحث عن التهديدات فريق الصيادين أكسون، يمكن أن يسمح للمهاجمين بإساءة استخدام التفويضات الحالية، مما يتيح تصعيد الامتيازات والوصول غير المصرح به إلى واجهات برمجة تطبيقات مساحة العمل دون امتيازات المشرف المتميز. قد يؤدي هذا الاستغلال إلى سرقة رسائل البريد الإلكتروني من Gmail، أو استخراج البيانات من Google Drive، أو غيرها من الإجراءات غير المصرح بها داخل Google Workspace APIs على جميع الهويات في النطاق المستهدف. لقد كشف Hunters بشكل مسؤول عن هذا الأمر إلى Google وعملوا معهم بشكل وثيق قبل نشر هذا البحث.
يسمح التفويض على مستوى النطاق بتفويض شامل بين كائنات هوية Google Cloud Platform (GCP) وتطبيقات Google Workspace. بمعنى آخر، فهو يمكّن هويات Google Cloud Platform من تنفيذ المهام على تطبيقات Google SaaS، مثل Gmail وتقويم Google وGoogle Drive والمزيد، نيابةً عن مستخدمي Workspace الآخرين.
يسمح عيب التصميم، الذي أطلق عليه فريق Hunters اسم “DeleFriend”، للمهاجمين المحتملين بالتلاعب بالتفويضات الحالية في GCP وGoogle Workspace دون امتلاك دور المشرف المتميز ذي الامتيازات العالية في Workspace، وهو أمر ضروري لإنشاء تفويضات جديدة. بدلاً من ذلك، مع وصول أقل امتيازًا إلى مشروع Google Cloud Platform مستهدف، يمكنهم إنشاء العديد من رموز الويب JSON المميزة (JWTs) المكونة من نطاقات OAuth مختلفة، بهدف تحديد مجموعات ناجحة من أزواج المفاتيح الخاصة ونطاقات OAuth المعتمدة التي تشير إلى أن حساب الخدمة له مجال- تم تمكين التفويض الواسع.
يكمن السبب الجذري في حقيقة أن تكوين تفويض المجال يتم تحديده بواسطة معرف مورد حساب الخدمة (معرف OAuth)، وليس المفاتيح الخاصة المحددة المرتبطة بكائن هوية حساب الخدمة.
بالإضافة إلى ذلك، لم يتم تطبيق أي قيود على تشويش مجموعات JWT على مستوى واجهة برمجة التطبيقات (API)، وهو ما لا يقيد خيار تعداد العديد من الخيارات للعثور على التفويضات الحالية والسيطرة عليها.
يشكل هذا الخلل خطرًا خاصًا بسبب التأثير المحتمل الموضح أعلاه ويتفاقم بسبب ما يلي:
- حياة طويلة: افتراضيًا، يتم إنشاء مفاتيح حساب خدمة Google Cloud Platform بدون تاريخ انتهاء الصلاحية. هذه الميزة تجعلها مثالية لإنشاء أبواب خلفية وضمان الثبات على المدى الطويل.
- من السهل إخفاءها: من السهل إخفاء إنشاء مفاتيح حساب خدمة جديدة لـ IAMs الموجودة أو، بدلاً من ذلك، إعداد قاعدة التفويض داخل صفحة تفويض API. وذلك لأن هذه الصفحات تستضيف عادةً مجموعة واسعة من الإدخالات الشرعية، والتي لم يتم فحصها بدقة كافية.
- وعي: قد لا تكون أقسام تكنولوجيا المعلومات والأمن دائمًا على دراية بميزة التفويض على مستوى المجال. قد لا يكونون على دراية بشكل خاص بإمكانية إساءة الاستخدام الضارة.
- من الصعب اكتشافها: نظرًا لأنه يتم إنشاء مكالمات واجهة برمجة التطبيقات (API) المفوضة نيابة عن الهوية المستهدفة، فسيتم تسجيل مكالمات واجهة برمجة التطبيقات (API) مع تفاصيل الضحية في سجلات تدقيق GWS المقابلة. وهذا يجعل من الصعب تحديد مثل هذه الأنشطة.
“إن العواقب المحتملة للجهات الخبيثة التي تسيء استخدام التفويض على مستوى النطاق شديدة. “بدلاً من التأثير على هوية واحدة فقط، كما هو الحال مع موافقة OAuth الفردية، فإن استغلال DWD مع التفويض الحالي يمكن أن يؤثر على كل هوية داخل مجال Workspace،” كما يقول يوناتان خاناشفيلي من فريق Hunters’ Team Axon.
يختلف نطاق الإجراءات المحتملة بناءً على نطاقات OAuth الخاصة بالتفويض. على سبيل المثال، سرقة البريد الإلكتروني من Gmail، أو سرقة البيانات من محرك الأقراص، أو مراقبة الاجتماعات من تقويم Google.
لتنفيذ طريقة الهجوم، يلزم الحصول على إذن GCP معين على حسابات الخدمة المستهدفة. ومع ذلك، لاحظ Hunters أن هذا الإذن ليس ممارسة غير شائعة في المؤسسات التي تجعل تقنية الهجوم هذه منتشرة بشكل كبير في المؤسسات التي لا تحتفظ بوضع أمني في موارد Google Cloud Platform الخاصة بها. وتابع خاناشفيلي: “من خلال الالتزام بأفضل الممارسات وإدارة الأذونات والموارد بذكاء، يمكن للمؤسسات تقليل تأثير طريقة الهجوم بشكل كبير”.
قام الصيادون بإنشاء ملف أداة إثبات المفهوم (تم تضمين التفاصيل الكاملة في البحث الكامل) لمساعدة المؤسسات في اكتشاف تكوينات DWD الخاطئة، وزيادة الوعي، وتقليل مخاطر استغلال DeleFriend. باستخدام هذه الأداة، يمكن للفرق الحمراء ومختبري القلم والباحثين الأمنيين محاكاة الهجمات وتحديد مسارات الهجوم الضعيفة لمستخدمي GCP IAM للتفويضات الحالية في مشاريع GCP الخاصة بهم لتقييم (ثم تحسين) المخاطر الأمنية وموقف بيئات مساحة العمل وGCP الخاصة بهم .
تم أيضًا تجميع فريق Hunters ‘Team Axon بحث شامل الذي يوضح بالضبط كيفية عمل الثغرة الأمنية بالإضافة إلى توصيات للبحث الشامل عن التهديدات، وتقنيات الكشف، وأفضل الممارسات لمواجهة هجمات التفويض على مستوى المجال.
قام الصيادون بإبلاغ Google بشكل مسؤول عن DeleFriend كجزء من برنامج Google “Bug Hunters” في أغسطس، ويتعاونون بشكل وثيق مع فرق الأمان والمنتجات في Google لاستكشاف إستراتيجيات التخفيف المناسبة. حاليًا، لم تقم Google بحل الخلل في التصميم بعد.
إقرأ البحث كاملا هنا، واتبع الصيادين فريق أكسون على تويتر.
عن الصيادين
الصيادون توفر منصة مركز العمليات الأمنية (SOC) التي تقلل المخاطر والتعقيد والتكلفة بالنسبة لفرق الأمن. كبديل لـ SIEM، توفر منصة Hunters SOC إمكانية استيعاب البيانات، والكشف عن التهديدات المضمنة والمحدثة دائمًا، وإمكانات الارتباط والتحقيق الآلية، مما يقلل من الوقت اللازم لفهم التهديدات الحقيقية والاستجابة لها. تستفيد منظمات مثل Booking.com وChargePoint وYext وUpwork وCimpress من منصة Hunters SOC لتمكين فرق الأمن لديها. يتم دعم Hunters من قبل شركات رأس المال الاستثماري الرائدة والمستثمرين الاستراتيجيين بما في ذلك Stripes، وYL Ventures، وDTCP، وCisco Investments، وBessemer Venture Partners، وUS Venture Partners (USVP)، وصندوق المشاريع الاستثماري التابع لشركة Microsoft M12، وBlumberg Capital، وSnowflake، وDatabricks، وOkta.
اتصال
يائيل ماسياس
yael@hunters.security