Cacat GhostToken Dapat Membiarkan Penyerang Menyembunyikan Aplikasi Berbahaya di Google Cloud Platform

21 April 2023Ravie LakshmananKeamanan / Kerentanan Cloud

Peneliti keamanan siber telah mengungkapkan rincian kelemahan zero-day yang kini telah ditambal di Google Cloud Platform (GCP) yang memungkinkan pelaku ancaman menyembunyikan aplikasi berbahaya yang tidak dapat dihapus di dalam akun Google korban.

Dijuluki Token Hantu oleh startup keamanan siber Israel, Astrix Security, kelemahan ini berdampak pada semua akun Google, termasuk akun Workspace yang berfokus pada perusahaan. Ini ditemukan dan dilaporkan ke Google pada 19 Juni 2022. Perusahaan menerapkan patch global lebih dari sembilan bulan kemudian pada 7 April 2023.

“Kerentanan […] memungkinkan penyerang mendapatkan akses permanen dan tidak dapat dihapus ke akun Google korban dengan mengubah aplikasi pihak ketiga yang sudah diotorisasi menjadi aplikasi trojan berbahaya, sehingga data pribadi korban terekspos selamanya,” kata Astrix dalam sebuah laporan.

Keamanan cyber

Singkatnya, kelemahan ini memungkinkan penyerang menyembunyikan aplikasi berbahaya mereka dari halaman manajemen aplikasi akun Google korban, sehingga secara efektif mencegah pengguna untuk mencabut aksesnya.

Hal ini dicapai dengan menghapus proyek GCP yang terkait dengan aplikasi OAuth resmi, sehingga menyebabkannya berada dalam status “menunggu penghapusan”. Pelaku ancaman, yang dipersenjatai dengan kemampuan ini, kemudian dapat memperlihatkan aplikasi jahat tersebut dengan memulihkan proyek dan menggunakan token akses untuk mendapatkan data korban, dan membuatnya tidak terlihat lagi.

Google Cloud Platform

“Dengan kata lain, penyerang menyimpan token ‘hantu’ ke akun korban,” kata Astrix.

Jenis data yang dapat diakses bergantung pada izin yang diberikan kepada aplikasi, yang dapat disalahgunakan oleh musuh untuk menghapus file dari Google Drive, menulis email atas nama korban untuk melakukan serangan manipulasi psikologis, melacak lokasi, dan mengambil data sensitif dari Google. Kalender, Drive, Foto, dan aplikasi lainnya.

“Korban mungkin tanpa sadar mengizinkan akses ke aplikasi berbahaya tersebut dengan memasang aplikasi yang tampaknya tidak berbahaya dari Google Marketplace atau salah satu dari banyak alat produktivitas yang tersedia online,” tambah Astrix.

Keamanan cyber

“Setelah aplikasi berbahaya tersebut diotorisasi, penyerang yang mengeksploitasi kerentanan dapat melewati fitur manajemen ‘Aplikasi dengan akses ke akun Anda’ Google, yang merupakan satu-satunya tempat di mana pengguna Google dapat melihat aplikasi pihak ketiga yang terhubung ke akun mereka.”

Patch Google mengatasi masalah tersebut dengan sekarang juga menampilkan aplikasi yang berada dalam status menunggu penghapusan di halaman akses pihak ketiga, memungkinkan pengguna untuk mencabut izin yang diberikan kepada aplikasi tersebut.

Perkembangan ini terjadi ketika Google Cloud memperbaiki kelemahan eskalasi hak istimewa di Cloud Asset Inventory API yang disebut Pencuri Kunci Aset yang dapat dieksploitasi untuk mencuri kunci pribadi Akun Layanan yang dikelola pengguna dan mendapatkan akses ke data berharga. Masalah yang ditemukan oleh SADA awal Februari ini telah diperbaiki oleh raksasa teknologi tersebut pada 14 Maret 2023.

Temuan ini juga muncul sekitar sebulan setelah perusahaan respons insiden cloud Mitiga mengungkapkan bahwa musuh dapat memanfaatkan visibilitas forensik yang “tidak mencukupi” ke dalam GCP untuk mengambil data sensitif.

Apakah artikel ini menarik? Ikuti kami di Twitter  dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.

Source link

Leave a Reply

Your email address will not be published. Required fields are marked *