Hunters Team Axon, Google Workspace를 인수에 취약하게 만들 수 있는 설계 결함 발견

보스턴, 매사추세츠, 2023년 11월 28일/Cyberwire/- 위협 사냥 전문가가 발견한 Google Workspace 도메인 전체 위임 기능의 심각한 설계 결함 헌터스 팀 액슨 , 공격자가 기존 위임을 오용하여 최고 관리자 권한 없이 권한 상승 및 Workspace API에 대한 무단 액세스를 허용할 수 있습니다.

이러한 악용으로 인해 Gmail에서 이메일을 도난당하거나, Google Drive에서 데이터가 유출되거나, 대상 도메인의 모든 ID에 대한 Google Workspace API 내 기타 무단 작업이 발생할 수 있습니다. Hunters는 이 사실을 책임감 있게 Google에 공개했으며 이 연구를 게시하기 전에 Google과 긴밀히 협력했습니다.

도메인 전체 위임을 사용하면 Google Cloud Platform(GCP) ID 객체와 Google Workspace 애플리케이션 간의 포괄적인 위임이 가능합니다. 즉, GCP ID가 다른 Workspace 사용자를 대신하여 Gmail, Google Calendar, Google Drive 등과 같은 Google SaaS 애플리케이션에서 작업을 실행할 수 있게 해줍니다.

Hunters 팀이 'DeleFriend'라고 명명한 설계 결함으로 인해 잠재적인 공격자가 Workspace에서 높은 권한의 최고 관리자 역할을 보유하지 않고도 GCP 및 Google Workspace에서 기존 위임을 조작할 수 있습니다. 이는 새로운 위임을 생성하는 데 필수적입니다.

대신, 대상 GCP 프로젝트에 대한 낮은 권한의 액세스를 통해 다양한 OAuth 범위로 구성된 수많은 JSON 웹 토큰(JWT)을 생성하여 서비스 계정에 도메인이 있음을 나타내는 승인된 OAuth 범위와 비공개 키 쌍의 성공적인 조합을 찾아낼 수 있습니다. 광범위한 위임이 활성화되었습니다.

근본 원인은 도메인 위임 구성이 서비스 계정 ID 객체와 연결된 특정 개인 키가 아니라 서비스 계정 리소스 식별자(OAuth ID)에 의해 결정된다는 사실에 있습니다.

또한 API 수준에서는 JWT 조합 퍼징에 대한 제한이 구현되지 않았으며 이는 기존 위임을 찾고 인수하기 위한 다양한 옵션을 열거하는 옵션을 제한하지 않습니다.

이 결함은 위에서 설명한 잠재적 영향으로 인해 특별한 위험을 초래하며 다음과 같이 증폭됩니다.

• 긴 수명: 기본적으로 GCP 서비스 계정 키는 만료일 없이 생성됩니다. 이 기능은 백도어를 설정하고 장기적인 지속성을 보장하는 데 이상적입니다.

• 숨기기 쉬움: 기존 IAM에 대한 새 서비스 계정 키 생성 또는 API 인증 페이지 내 위임 규칙 설정을 숨기기 쉽습니다. 이는 이러한 페이지가 일반적으로 충분히 철저하게 검사되지 않은 다양한 합법적인 항목을 호스팅하기 때문입니다.

• 인식: IT 및 보안 부서는 도메인 전체 위임 기능을 항상 인식하지 못할 수도 있습니다. 특히 그들은 악의적인 남용의 가능성을 인식하지 못할 수도 있습니다.

• 감지하기 어려움: 위임된 API 호출은 대상 ID를 대신하여 생성되므로 해당 GWS 감사 로그에 피해자 세부정보와 함께 API 호출이 기록됩니다. 이로 인해 그러한 활동을 식별하는 것이 어려워집니다.

  
  

“악의적인 행위자가 도메인 전체 위임을 오용할 경우 잠재적인 결과는 심각합니다. 개별 OAuth 동의처럼 단일 ID에만 영향을 미치는 대신 기존 위임으로 DWD를 활용하면 Workspace 도메인 내의 모든 ID에 영향을 미칠 수 있습니다.”

Hunters 팀 Axon의 Yonatan Khanashvili는 말합니다.

가능한 작업 범위는 위임의 OAuth 범위에 따라 다릅니다. 예를 들어 Gmail에서 이메일을 도난당하거나 드라이브에서 데이터를 유출하거나 Google 캘린더에서 회의를 모니터링할 수 있습니다.

공격 방법을 실행하려면 대상 서비스 계정에 대한 특정 GCP 권한이 필요합니다.

그러나 Hunters는 GCP 리소스에 보안 상태를 유지하지 않는 조직에서 이 공격 기술을 널리 퍼뜨리는 조직에서는 이러한 권한이 드문 관행이 아니라는 점을 관찰했습니다.

“모범 사례를 준수하고 권한과 리소스를 현명하게 관리함으로써 조직은 공격 방법의 영향을 극적으로 최소화할 수 있습니다.”

Khanashvili는 계속했습니다.

헌터스가 만들었습니다. 개념 증명 도구 (전체 세부 사항은 전체 연구에 포함되어 있음) 조직이 DWD 구성 오류를 감지하고 인식을 높이며 DeleFriend의 악용 위험을 줄이는 데 도움을 줍니다.

이 도구를 사용하면 레드팀, 침투 테스터, 보안 연구원은 공격을 시뮬레이션하고 GCP 프로젝트의 기존 위임에 대한 GCP IAM 사용자의 취약한 공격 경로를 찾아 작업공간 및 GCP 환경의 보안 위험과 상태를 평가(및 개선)할 수 있습니다. .

Hunters의 Team Axon도 편집했습니다. 종합적인 연구 이는 취약점이 어떻게 작동하는지 정확하게 설명하고 도메인 전체 위임 공격에 대응하기 위한 철저한 위협 사냥, 탐지 기술 및 모범 사례에 대한 권장 사항을 설명합니다.

Hunters는 지난 8월 Google의 'Bug Hunters' 프로그램의 일환으로 DeleFriend를 Google에 책임감 있게 보고했으며 Google의 보안 및 제품 팀과 긴밀히 협력하여 적절한 완화 전략을 모색하고 있습니다. 현재 Google은 아직 설계 결함을 해결하지 못했습니다.

전체 연구 내용 읽기 여기 , 그리고 Hunters'를 팔로우하세요. 트위터의 Team Axon .

헌터스 소개

사냥꾼 보안 팀의 위험, 복잡성 및 비용을 줄이는 SOC(보안 운영 센터) 플랫폼을 제공합니다. SIEM 대안인 Hunters SOC 플랫폼은 데이터 수집, 항상 최신 상태를 유지하는 내장형 위협 탐지, 자동화된 상관 관계 및 조사 기능을 제공하여 실제 위협을 이해하고 대응하는 시간을 최소화합니다.

Booking.com, ChargePoint, Yext, Upwork 및 Cimpress와 같은 조직은 Hunters SOC 플랫폼을 활용하여 보안 팀의 역량을 강화합니다. Hunters는 Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners(USVP), Microsoft의 벤처 펀드 M12, Blumberg Capital, Snowflake, Databricks 및 Okta를 포함한 주요 VC 및 전략적 투자자의 지원을 받습니다.

연락하다

야엘 마시아스

[email protected]