ל-Google Workspace יש פגם שהוביל להתקפות סייבר
חוקרים טוענים שהאקרים עלולים לגנוב נתונים של Gmail
חוקרי אבטחת סייבר מהאנטרס אמרו שהם גילו "פגם עיצובי חמור" בתכונה חזקה של Google Workspace.
עם זאת, גוגל הפחיתה את הממצאים ואמרה שאין בעיות בסיסיות ושזה רק עניין של כל חברה להגן על נקודות הקצה שלה עם הכלים העומדים לרשותה.
כפי שדווח על ידי ה-Hacker News , חוקרים גילו פגם בתכונת האצלה בדומיין (DWD), שאותה יכולים האקרים לכאורה לנצל כדי להסלים הרשאות ולהשיג גישה לממשקי Workspace API ללא הרשאות סופר אדמין.
אין בעיות בסיסיות, אומרת גוגל
האצלה לכל הדומיין מאפשרת לאפליקציות צד שלישי, כמו גם לאפליקציות פנימיות, לגשת לנתוני משתמשים בסביבת Google Workspace. החוקרים אמרו שהתכונה פגומה מכיוון שתצורת האצלת הדומיין נקבעת על ידי מזהה משאב חשבון השירות (OAuth ID), במקום מפתחות פרטיים המשויכים לאובייקט הזהות של חשבון השירות.
"ניצול כזה עלול לגרום לגניבת אימיילים מג'ימייל, חילוץ נתונים מ-Google Drive או פעולות לא מורשות אחרות בתוך ממשקי Google Workspace API על כל הזהויות בדומיין היעד", אמרו החוקרים. הפגיעות כונתה DeleFriend.
זה יאפשר לשחקני איומים עם הרשאות נמוכות "ליצור מספר רב של אסימוני אינטרנט של JSON (JWT) המורכבים מהיקפי OAuth שונים, במטרה לאתר שילובים מוצלחים של צמדי מפתחות פרטיים והיקפי OAuth מורשים, המצביעים על כך שלחשבון השירות מופעלת האצלה לדומיין. "
כתוצאה מכך, שחקני איומים עלולים לגנוב נתונים מ-Gmail, Google Drive ואחרים. החוקרים גם יצרו הוכחת מושג (PoC) כדי להראות כיצד ניתן לנצל את הפגם לרעה.
"ההשלכות הפוטנציאליות של שחקנים זדוניים המנצלים לרעה את האצלה בכל התחום הן חמורות", אמר חוקר האבטחה של Hunters, יונתן Khanashvili. "במקום להשפיע רק על זהות בודדת, כמו בהסכמת OAuth בודדת, ניצול DWD עם האצלה קיימת יכול להשפיע על כל זהות בדומיין Workspace.
אבל לגוגל אין שום דבר מזה. "הדוח הזה לא מזהה בעיית אבטחה בסיסית במוצרים שלנו", נמסר לפרסום. "כשיטת עבודה מומלצת, אנו ממליצים למשתמשים לוודא שלכל החשבונות יש את כמות ההרשאות המינימלית האפשרית (ראה הנחיות כאן ). לעשות זאת הוא המפתח למאבק בסוגים אלה של התקפות."