Organisasi kadang ngandelkeun Google OAuth pikeun nga-asténtikasi pangguna. Aranjeunna condong nganggap yén Google téh omnipotent tur wijaksana, ku kituna kaputusan na ngeunaan naha méré aksés pamaké dianggap dibaca.

Hanjakalna, iman buta sapertos bahaya: pilihan “Asup sareng Google” ngagaduhan kalemahan anu serius. Dina Désémber 2023, panalungtik Dylan Ayrey di Truffle Security mendakan kerentanan anu lumayan jahat dina Google OAuth anu ngamungkinkeun para karyawan nahan aksés kana sumber daya perusahaan saatos pisah ti perusahaanna. Aya ogé cara pikeun urang asing pikeun ngamangpaatkeun bug ieu sareng kéngingkeun aksés.

Naon anu lepat sareng asup Google OAuth

Kerentanan ieu lumangsung alatan sababaraha faktor. Kahiji: Google ngidinan pamaké pikeun nyieun hiji akun Google ngagunakeun sagala email – lain ngan Gmail. Pikeun asup ka Google Workspace perusahaan, alamat surelek sareng nami domain perusahaan biasana dianggo. Contona, hiji pagawe pausahaan hypothetical Conto Inc. tiasa gaduh alamat email éta alanna@example.com.

Anu

Google OAuth dipaké ku rupa-rupa platform gawé di loba organisasi. Contona, ieu tombol “Asup sareng Google” dina slack.slack.com

Kadua: Google (sareng sajumlah jasa online anu sanés) ngadukung naon anu disebut sub-addressing. Ieu ngidinan Anjeun nyieun alamat landian ku nambahkeun tanda tambah (+) kana alamat surélék nu aya, dituturkeun ku naon anjeun resep. Salah sahiji kagunaanna nyaéta pikeun ngatur aliran email.

Salaku conto, nalika ngadaptar akun sareng bank online, anjeun tiasa netepkeun alamatna alanna+bank@example.com; nalika ngadaptar sareng panyadia ladenan komunikasi – alanna+telco@example.com. Sacara resmi, ieu mangrupikeun alamat anu béda, tapi emailna bakal ka kotak surat anu sami – alanna@example.com. Sarta alatan eusi widang “Ka:” béda, pesen asup bisa diatur béda ngagunakeun aturan nu tangtu.

Asup ka Slack sareng Google

Conto asup kana Slack sareng Google nganggo alamat email landian kalayan tanda tambah

Katilu: dina seueur platform kerja sapertos Zoom sareng Slack, otorisasina ngalangkungan tombol “Asup sareng Google” nganggo domain alamat email anu ditunjuk nalika ngadaptar akun Google. Janten, dina conto urang, pikeun nyambung ka ruang kerja Conto Inc example.slack.comanjeun peryogi @example.com alamat.

Tungtungna, kaopat: kasebut nyaéta dimungkinkeun pikeun ngédit alamat surélék dina akun Google. Di dieu, sub-addressing bisa dipaké ku cara ngarobah, sebutkeun, alanna@example.com ka alanna+whatever@example.com. Rengse, akun Google anyar tiasa didaptarkeun sareng alamat éta alanna@example.com.

Ieu nyababkeun dua akun Google anu béda anu tiasa dianggo pikeun asup kana platform kerja Conto Inc. (sapertos Slack sareng Zoom) ngalangkungan Google OAuth. Masalahna nyaéta alamat kadua tetep teu katingali ku pangurus Google Workspace perusahaan, janten aranjeunna henteu tiasa ngahapus atanapi nganonaktipkeun akun ieu. Ku cara ieu, karyawan anu dipecat masih tiasa gaduh aksés kana sumber daya perusahaan.

Ngamangpaatkeun kerentanan Google OAuth sareng kéngingkeun éntri tanpa aksés awal

Sakumaha kamungkinan sadayana ieu dilaksanakeun dina prakték? Pinuh. Ayrey nguji kamungkinan ngeksploitasi kerentanan dina Google OAuth dina Slack and Zoom perusahaanna sorangan, sareng mendakan yén éta leres-leres tiasa nyiptakeun akun hantu sapertos kitu. Pamaké biasa anu sanés ahli ogé tiasa nyandak kauntungan tina éta: henteu peryogi pangaweruh atanapi kaahlian khusus.

Ngamangpaatkeun kerentanan dina Google OAuth

Conto ngamangpaatkeun kerentanan dina Google OAuth pikeun masihan aksés Slack kana akun anu kadaptar kana sub-alamat email. Sumber

Catet yén, salian Slack sareng Zoom, kerentanan ieu mangaruhan puluhan alat perusahaan anu kirang dikenal anu nganggo auténtikasi Google OAuth.

Dina sababaraha kasus, panyerang tiasa kéngingkeun aksés kana alat awan organisasi sanaos awalna henteu gaduh aksés kana email perusahaan tina perusahaan target. Sistem tiket Zendesk, contona, tiasa dianggo pikeun tujuan ieu.

Idena nyaéta yén jasa ieu ngamungkinkeun ngirim pamenta via email. Alamat surelek sareng domain perusahaan didamel kanggo pamundut, sareng panyipta pamundut (nyaéta, saha waé) tiasa ningali eusi sadaya korespondensi anu aya hubunganana sareng pamundut ieu. Tétéla yén pangguna tiasa ngadaptarkeun akun Google nganggo alamat ieu sareng, ngalangkungan pamundut, kéngingkeun email sareng tautan konfirmasi. Aranjeunna teras tiasa ngamangpaatkeun kerentanan dina Google OAuth pikeun asup kana Zoom sareng Slack perusahaan target tanpa gaduh aksés awal kana sumberna.

Kumaha ngajaga ngalawan kerentanan Google OAuth

Panaliti ngabéjaan Google ngeunaan kerentanan sababaraha bulan kapengker ngaliwatan program bounty bug; parusahaan dipikawanoh salaku masalah (sanajan prioritas lemah sareng severity) komo dileler ganjaran a (tina $ 1337). Ayrey ogé ngalaporkeun masalah éta ka sababaraha jasa online, kalebet Slack.

Nanging, teu aya anu buru-buru ngalereskeun kerentanan sapertos kitu, janten panyalindungan ngalawan aranjeunna sigana aya dina taktak karyawan perusahaan anu ngatur platform kerja. Untungna, dina kalolobaan kasus ieu henteu ngabalukarkeun masalah khusus: ngan mareuman pilihan “Asup sareng Google”.

Sareng, tangtosna, éta ide anu saé pikeun waspada kana kamungkinan penetrasi anu langkung jero kana infrastruktur inpormasi organisasi ngaliwatan platform sapertos Slack, anu hartosna ngawaskeun naon anu lumangsung dina infrastruktur éta. Upami departemén kaamanan inpormasi perusahaan anjeun henteu gaduh sumber daya atanapi kaahlian pikeun ngalakukeun ieu, laksanakeun jasa éksternal sapertos Deteksi sareng Tanggapan Diurus Kaspersky.


#Naha #ngagunakeun #Google #OAuth #dina #aplikasi #padamelan #henteu #aman