Google Looker Studio 中新的 “LeakyLooker” 漏洞可实现跨租户 SQL 查询
- 浏览次数 270
- 喜欢 0
HackerNews 编译,转载请注明出处:
网络安全研究人员披露了 Google Looker Studio 中的9 个跨租户漏洞,这些漏洞原本可能允许攻击者在受害者数据库上执行任意 SQL 查询,并在机构的 Google Cloud 环境中窃取敏感数据。
这些缺陷被 Tenable 公司统一命名为 LeakyLooker。目前没有证据表明这些漏洞在野外被利用过。在 2025 年 6 月通过负责任披露机制上报后,Google 已修复这些问题。
安全漏洞列表如下:
· 跨租户未授权访问 —— 数据库连接器上的零点击 SQL 注入
· 跨租户未授权访问 —— 通过存储凭据实现的零点击 SQL 注入
· 通过原生函数在 BigQuery 上实现跨租户 SQL 注入
· 基于超链接的跨租户数据源泄露
· 通过受害者数据源上的自定义查询在 Spanner 和 BigQuery 上实现跨租户 SQL 注入
· 通过链接 API 在 BigQuery 和 Spanner 上实现跨租户 SQL 注入
· 基于图片渲染的跨租户数据源泄露
· 基于帧计数与时序 oracle 的任意数据源跨租户 XS 泄露
· 通过 BigQuery 实现的跨租户 “钱包拒绝” 服务(Denial of Wallet)
“这些漏洞打破了底层设计假设,揭示了一类全新的攻击方式,原本可能允许攻击者在受害者服务和 Google Cloud 环境中窃取、插入和删除数据。” 安全研究员 Liv Matan 在分享给《黑客新闻》的报告中表示。
“这些漏洞暴露了 Google Cloud Platform(GCP)环境中的敏感数据,可能影响任何使用 Google Sheets、BigQuery、Spanner、PostgreSQL、MySQL、Cloud Storage 以及几乎所有其他 Looker Studio 数据连接器的机构。”
成功利用这些跨租户漏洞可使威胁行为者访问不同云租户之间的完整数据集和项目。
攻击者可以扫描公开的 Looker Studio 报表,或获取使用这些连接器(如 BigQuery)的私有报表访问权限,进而控制数据库,使其能够在所有者的整个 GCP 项目中执行任意 SQL 查询。
另一种情况是:受害者创建报表并设为公开或分享给特定接收者,且使用了 JDBC 连接的数据源(如 PostgreSQL)。在此场景下,攻击者可利用复制报表功能中的逻辑缺陷,在克隆报表时保留原始所有者的凭据,从而删除或修改数据表。
该网络安全公司详细介绍的另一种高影响利用路径是一键式数据窃取:分享一份特制报表会强制受害者浏览器执行恶意代码,连接到攻击者控制的项目,并从日志中重建完整数据库。
“这些漏洞打破了‘查看者永远不应能够控制他们所查看的数据’这一基本承诺。”Matan 表示,并补充说这些漏洞 “原本可能让攻击者跨 BigQuery 和 Google Sheets 等 Google 服务窃取或修改数据”。
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文