行业新闻与博客
DeleFriend 漏洞使 Google Workspace 安全面临风险
安全研究人员发现了 Google Workspace 域范围委派功能中的一个新设计缺陷。
该漏洞被 Hunters 的 Team Axon 命名为“DeleFriend”,可能会使 Google Workspace 的 API 遭受未经授权的访问和权限升级。
根据该团队周二发布的一份报告,利用此缺陷可能会导致未经授权访问 Gmail 中的电子邮件、从 Google Drive 中提取数据,以及针对目标域中所有身份的 Google Workspace API 中的其他非法活动。
DeleFriend 允许潜在攻击者操纵 Google Cloud Platform (GCP) 和 Google Workspace 中已建立的委托。值得注意的是,这种操作可以在工作区中没有高权限超级管理员角色的情况下进行,这通常是创建新委派所必需的。
相反,通过对目标 GCP 项目进行较低权限的访问,攻击者可以生成包含各种 OAuth 范围的多个 JSON Web 令牌 (JWT)。目标是识别私钥对和授权 OAuth 范围的成功组合,从而发出服务帐户域范围委派激活的信号。
Team Axon 的研究论文还介绍了一种概念验证工具,用于评估 Google Workspace 和 GCP 环境中与此缺陷相关的安全风险。
详细了解 Google Workspace 安全性:Google Workspace 向 Gmail 和日历添加客户端加密
DoControl 解决方案咨询副总裁 Tim Davis 评论道:“这些类型的漏洞凸显了为什么对 SaaS 数据访问具有独立可见性至关重要。”
“任何 SaaS 平台都不可能拥有完美的安全性,这只是重申了需要有适当的工具来识别、警报甚至自动修复 SaaS 平台中的数据通过以前未见过的或异常的方式访问时,无论是由用户、 API,或第三方应用程序。”
Hunters 博客文章中概述的主要建议包括智能角色管理、限制 OAuth 范围、实施检测工程以及保持对安全态势的持续检查。
负责任的披露时间表显示,该漏洞于 2023 年 8 月 7 日向 Google 报告,最初被归类为“滥用风险”,并于 2023 年 10 月 31 日接受。尽管已披露,但截至最新更新,该漏洞仍然存在。
“谷歌目前正在审查该漏洞,但与此同时,使用 Google Workspace 的安全团队应审核其权限,并确保 GCP 权限仅限于需要访问权限的帐户,”网络研究部门检测人员 Adam Neel 解释道。关键启动工程师。
“此权限通常是通过“编辑”角色授予的,但自定义角色也可以拥有该权限。要利用此漏洞,攻击者必须拥有 GCP IAM 用户的初始访问权限。如果不直接访问帐户,攻击者将无法利用此漏洞。”
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服