Ostrzeżenie: GhostToken! Nowa słabość w zabezpieczeniach Google Cloud Platform
Odkryto nową lukę w Google Cloud Platform (GCP), która pozwala atakującym na modyfikację aplikacji OAuth i ukrycie jej, aby stworzyć backdoor do dowolnego konta Google.
Podatność otrzymała nazwę GhostToken i umożliwia atakującym całkowite ukrycie złośliwej aplikacji przed użytkownikiem Google oraz wykorzystanie jej do pozyskania tokenów konta w celu uzyskania dostępu do danych ofiary.
Astrix, firma specjalizująca się w bezpieczeństwie między aplikacyjnym, wyjaśnia, że problem pojawił się przy usuwaniu klientów OAuth, które są w rzeczywistości projektami GCP. Astrix odkrył lukę w czerwcu ubiegłego roku.
Kiedy projekt GCP jest usuwany – przez właściciela lub osobę mającą odpowiednie uprawnienia – przechodzi w stan "oczekiwania na usunięcie" na 30 dni, co pozwala deweloperowi przywrócić go w razie potrzeby.
Jednakże, po takim usunięciu, projekt nie jest już widoczny na stronie zarządzania aplikacjami konta Google, mimo że wciąż może mieć dostęp do tego konta.
To samo dotyczy projektów GCP będących klientami OAuth. Mimo że użytkownik dostaje powiadomienie o usunięciu klienta, aplikacja wciąż ma dostęp do konta aż do jej rzeczywistego usunięcia.
Astrix odkrył również, że po przywróceniu takiego klienta OAuth z trybu "oczekiwania na usunięcie", token odświeżania, utworzony przez użytkownika podczas pierwszej autoryzacji aplikacji, zostaje ponownie aktywowany.
Token odświeżania może być następnie wykorzystany do pozyskania tokena dostępu do konta ofiary, co prowadzi do uzyskania dostępu do jej danych.
Atakujący może wykorzystać tę lukę, tworząc lub przejmując aplikację OAuth i uzyskując dostęp do tokena odświeżania. Następnie atakujący może usunąć projekt powiązany z aplikacją, utrudniając ofierze usunięcie go z konta.
W celu uzyskania dostępu do danych ofiary, atakujący przywracał projekt, korzystał z tokena odświeżania, aby uzyskać token dostępu, a potem ponownie usuwał projekt, aby ukryć aplikację i uniemożliwić jej usunięcie.
"Korzystając z luki GhostToken, atakujący może ukryć złośliwą aplikację na stronie zarządzania aplikacjami konta Google ofiary. Jako że to jedyna lokalizacja, gdzie użytkownicy Google mogą przeglądać swoje aplikacje i anulować dostęp, exploit utrudnia usunięcie złośliwej aplikacji z konta Google" – zauważa Astrix.
W takim scenariuszu token dostępu umożliwiałby atakującemu czytanie wiadomości e-mail ofiary, dostęp do jej plików w Google Drive i Google Photos, przeglądanie kalendarza, śledzenie lokalizacji oraz "przyznawanie dostępu do usług Google Cloud Platform" – wyjaśnia firma zajmująca się bezpieczeństwem.
Google podjęło działania w celu zażegnania tego problemu w tym miesiącu, wprowadzając zmiany, które sprawiają, że aplikacje o statusie "oczekujące na usunięcie" są teraz widoczne na koncie Google użytkownika. Dzięki temu użytkownicy mogą je trwale usunąć, zabezpieczając swoje konta przed nieautoryzowanym dostępem.
Źródło:
