বোস্টন, ম্যাসাচুসেটস, 28শে নভেম্বর, 2023/সাইবারওয়্যার/-- Google Workspace-এর ডোমেইন-ওয়াইড ডেলিগেশন বৈশিষ্ট্যের একটি গুরুতর ডিজাইন ত্রুটি যা হুমকি শিকার বিশেষজ্ঞরা আবিষ্কার করেছেন , আক্রমণকারীদের বিদ্যমান প্রতিনিধিদের অপব্যবহার করার অনুমতি দিতে পারে, বিশেষাধিকার বৃদ্ধি সক্ষম করে এবং সুপার অ্যাডমিন বিশেষাধিকার ছাড়া ওয়ার্কস্পেস API-এ অননুমোদিত অ্যাক্সেস সক্ষম করে৷ শিকারীদের দল অ্যাক্সন এই ধরনের শোষণের ফলে Gmail থেকে ইমেল চুরি হতে পারে, Google ড্রাইভ থেকে ডেটা অপসারণ হতে পারে বা লক্ষ্য ডোমেনের সমস্ত পরিচয়ে Google Workspace API-এর মধ্যে অন্য অননুমোদিত অ্যাকশন হতে পারে। Hunters দায়িত্বের সাথে Google এর কাছে এটি প্রকাশ করেছে এবং এই গবেষণাটি প্রকাশ করার আগে তাদের সাথে ঘনিষ্ঠভাবে কাজ করেছে। ডোমেন-ওয়াইড ডেলিগেশন Google ক্লাউড প্ল্যাটফর্ম (GCP) আইডেন্টিটি অবজেক্ট এবং Google Workspace অ্যাপ্লিকেশানগুলির মধ্যে একটি ব্যাপক প্রতিনিধিত্বের অনুমতি দেয়। অন্য কথায়, এটি অন্যান্য ওয়ার্কস্পেস ব্যবহারকারীদের পক্ষে জিসিপি পরিচয়গুলিকে Google SaaS অ্যাপ্লিকেশন, যেমন Gmail, Google ক্যালেন্ডার, Google ড্রাইভ এবং আরও অনেক কিছুতে কার্য সম্পাদন করতে সক্ষম করে। ডিজাইনের ত্রুটি, যেটিকে হান্টার-এর দল “DeleFriend” বলে অভিহিত করেছে, সম্ভাব্য আক্রমণকারীদের ওয়ার্কস্পেস-এ উচ্চ-সুপার অ্যাডমিন ভূমিকা না রেখেই GCP এবং Google Workspace-এ বিদ্যমান প্রতিনিধিদের ম্যানিপুলেট করার অনুমতি দেয়, যেটি নতুন প্রতিনিধি তৈরির জন্য অপরিহার্য। পরিবর্তে, একটি লক্ষ্য GCP প্রকল্পে কম সুবিধাপ্রাপ্ত অ্যাক্সেসের সাথে, তারা বিভিন্ন OAuth স্কোপের সমন্বয়ে অসংখ্য JSON ওয়েব টোকেন (JWTs) তৈরি করতে পারে, যার লক্ষ্য ব্যক্তিগত কী জোড়া এবং অনুমোদিত OAuth স্কোপের সফল সমন্বয়গুলি চিহ্নিত করা যা নির্দেশ করে যে পরিষেবা অ্যাকাউন্টে ডোমেন রয়েছে- বিস্তৃত প্রতিনিধি সক্রিয়. মূল কারণটি এই সত্য যে ডোমেন ডেলিগেশন কনফিগারেশন পরিষেবা অ্যাকাউন্ট রিসোর্স আইডেন্টিফায়ার (OAuth ID) দ্বারা নির্ধারিত হয়, এবং পরিষেবা অ্যাকাউন্ট আইডেন্টিটি অবজেক্টের সাথে সম্পর্কিত নির্দিষ্ট ব্যক্তিগত কীগুলি নয়৷ উপরন্তু, এপিআই স্তরে JWT সংমিশ্রণগুলির অস্পষ্ট করার জন্য কোনও বিধিনিষেধ প্রয়োগ করা হয়নি, যা বিদ্যমান প্রতিনিধিদলগুলিকে খুঁজে বের করার এবং নেওয়ার জন্য অসংখ্য বিকল্প গণনার বিকল্পকে সীমাবদ্ধ করে না। উপরে বর্ণিত সম্ভাব্য প্রভাবের কারণে এই ত্রুটিটি একটি বিশেষ ঝুঁকি তৈরি করে এবং নিম্নলিখিতগুলি দ্বারা প্রসারিত হয়: দীর্ঘ জীবন: ডিফল্টরূপে, GCP পরিষেবা অ্যাকাউন্ট কীগুলি মেয়াদ শেষ হওয়ার তারিখ ছাড়াই তৈরি করা হয়। এই বৈশিষ্ট্যটি তাদের পিছনের দরজা স্থাপন এবং দীর্ঘমেয়াদী অধ্যবসায় নিশ্চিত করার জন্য আদর্শ করে তোলে। লুকানো সহজ: বিদ্যমান IAM-এর জন্য নতুন পরিষেবা অ্যাকাউন্ট কী তৈরি করা বা বিকল্পভাবে, API অনুমোদন পৃষ্ঠার মধ্যে একটি প্রতিনিধিত্ব নিয়মের সেটিং লুকানো সহজ। এর কারণ হল এই পৃষ্ঠাগুলি সাধারণত বৈধ এন্ট্রিগুলির একটি বিস্তৃত অ্যারে হোস্ট করে, যেগুলি যথেষ্ট পুঙ্খানুপুঙ্খভাবে পরীক্ষা করা হয় না। সচেতনতা: আইটি এবং সুরক্ষা বিভাগগুলি সর্বদা ডোমেন-ব্যাপী প্রতিনিধিত্ব বৈশিষ্ট্য সম্পর্কে সচেতন নাও হতে পারে। তারা বিশেষ করে এর দূষিত অপব্যবহারের সম্ভাবনা সম্পর্কে অজ্ঞ থাকতে পারে। সনাক্ত করা কঠিন: যেহেতু অর্পিত API কলগুলি লক্ষ্য পরিচয়ের পক্ষে তৈরি করা হয়, তাই API কলগুলি সংশ্লিষ্ট GWS অডিট লগগুলিতে শিকারের বিবরণ দিয়ে লগ করা হবে। এটি এই ধরনের কার্যকলাপ চিহ্নিত করা চ্যালেঞ্জিং করে তোলে। “ডোমেন-ওয়াইড প্রতিনিধিদলের অপব্যবহারকারী দূষিত অভিনেতাদের সম্ভাব্য পরিণতি গুরুতর। শুধুমাত্র একটি একক পরিচয়কে প্রভাবিত করার পরিবর্তে, পৃথক OAuth সম্মতির মতো, বিদ্যমান প্রতিনিধিদের সাথে DWD ব্যবহার করা ওয়ার্কস্পেস ডোমেনের মধ্যে প্রতিটি পরিচয়কে প্রভাবিত করতে পারে। হান্টার্স টিম অ্যাক্সনের ইয়োনাতন খানাশভিলি বলেছেন। প্রতিনিধি দলের OAuth সুযোগের উপর ভিত্তি করে সম্ভাব্য কর্মের পরিসর পরিবর্তিত হয়। উদাহরণস্বরূপ, জিমেইল থেকে ইমেল চুরি, ড্রাইভ থেকে ডেটা এক্সফিল্ট্রেশন বা গুগল ক্যালেন্ডার থেকে মিটিং মনিটর করা। আক্রমণ পদ্ধতি চালানোর জন্য, লক্ষ্য পরিষেবা অ্যাকাউন্টগুলিতে একটি নির্দিষ্ট GCP অনুমতি প্রয়োজন। যাইহোক, হান্টাররা লক্ষ্য করেছেন যে এই ধরনের অনুমতি এমন একটি অস্বাভাবিক অভ্যাস নয় যেগুলি এই আক্রমণের কৌশলটিকে এমন সংস্থাগুলিতে অত্যন্ত প্রচলিত করে তোলে যেগুলি তাদের জিসিপি সংস্থানে নিরাপত্তা ভঙ্গি বজায় রাখে না। "সর্বোত্তম অনুশীলনগুলি মেনে চলার মাধ্যমে, এবং বুদ্ধিমানের সাথে অনুমতি এবং সংস্থানগুলি পরিচালনা করে, সংগঠনগুলি আক্রমণের পদ্ধতির প্রভাবকে নাটকীয়ভাবে কমিয়ে আনতে পারে" খানাশভিলি চলতে থাকে। শিকারী একটি তৈরি করেছে DWD ভুল কনফিগারেশন সনাক্তকরণ, সচেতনতা বৃদ্ধি এবং DeleFriend এর শোষণ ঝুঁকি কমাতে সংস্থাগুলিকে সহায়তা করার জন্য (সম্পূর্ণ গবেষণায় সম্পূর্ণ বিবরণ অন্তর্ভুক্ত করা হয়েছে)। প্রুফ অফ কনসেপ্ট টুল এই টুলটি ব্যবহার করে, লাল দল, কলম পরীক্ষক এবং নিরাপত্তা গবেষকরা তাদের কর্মক্ষেত্র এবং জিসিপি পরিবেশের নিরাপত্তা ঝুঁকি এবং ভঙ্গি মূল্যায়ন (এবং তারপর উন্নত) করতে তাদের GCP প্রকল্পগুলিতে বিদ্যমান প্রতিনিধিদের কাছে GCP IAM ব্যবহারকারীদের আক্রমণের অনুকরণ করতে এবং দুর্বল আক্রমণের পথগুলি সনাক্ত করতে পারে। . হান্টারস টিম অ্যাক্সনও সংকলন করেছে এটি ঠিক কীভাবে দুর্বলতা কাজ করে সেইসাথে পুঙ্খানুপুঙ্খ হুমকি শিকার, সনাক্তকরণ কৌশল এবং ডোমেন-ব্যাপী প্রতিনিধি আক্রমণ মোকাবেলার জন্য সর্বোত্তম অনুশীলনের জন্য সুপারিশগুলি ঠিক করে। ব্যাপক গবেষণা হান্টাররা আগস্টে Google-এর “বাগ হান্টারস” প্রোগ্রামের অংশ হিসাবে Google-কে দায়িত্বের সাথে ডেলফ্রেন্ডের রিপোর্ট করেছে এবং উপযুক্ত প্রশমন কৌশলগুলি অন্বেষণ করতে Google-এর নিরাপত্তা এবং পণ্য দলের সাথে ঘনিষ্ঠভাবে সহযোগিতা করছে। বর্তমানে, গুগল এখনও ডিজাইনের ত্রুটি সমাধান করতে পারেনি। সম্পূর্ণ গবেষণা পড়ুন , এবং শিকারীদের অনুসরণ করুন . এখানে টুইটারে টিম অ্যাক্সন শিকারী সম্পর্কে একটি সিকিউরিটি অপারেশন সেন্টার (এসওসি) প্ল্যাটফর্ম সরবরাহ করে যা নিরাপত্তা দলের জন্য ঝুঁকি, জটিলতা এবং খরচ কমায়। একটি SIEM বিকল্প, Hunters SOC প্ল্যাটফর্ম ডেটা ইনজেশন, অন্তর্নির্মিত এবং সর্বদা আপ-টু-ডেট হুমকি সনাক্তকরণ এবং স্বয়ংক্রিয় পারস্পরিক সম্পর্ক এবং তদন্তের ক্ষমতা প্রদান করে, বাস্তব হুমকিগুলি বুঝতে এবং প্রতিক্রিয়া জানাতে সময় কমিয়ে দেয়। শিকারী Booking.com, ChargePoint, Yext, Upwork এবং Cimpress লিভারেজ Hunters SOC প্ল্যাটফর্মের মতো সংস্থাগুলি তাদের নিরাপত্তা দলগুলিকে শক্তিশালী করতে। Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), Microsoft-এর ভেঞ্চার ফান্ড M12, Blumberg Capital, Snowflake, Databricks এবং Okta সহ নেতৃস্থানীয় ভিসি এবং কৌশলগত বিনিয়োগকারীদের দ্বারা হান্টারদের সমর্থন রয়েছে। যোগাযোগ ইয়ায়েল ম্যাকিয়াস yael@hunters.security এই গল্পটি হ্যাকারনুনের বিজনেস ব্লগিং প্রোগ্রামের অধীনে সাইবারওয়্যার দ্বারা একটি রিলিজ হিসাবে বিতরণ করা হয়েছিল। প্রোগ্রাম সম্পর্কে আরও জানুন . এখানে
