Google Cloud Platform の脆弱性 GhostToken:悪意のアプリをスティルス化

GhostToken Flaw Could Let Attackers Hide Malicious Apps in Google Cloud Platform

2023/04/21 TheHackerNews — サイバー・セキュリティ研究者が、Google Cloud Platform (GCP) のゼロデイ欠陥 (パッチ適用済み) の詳細を明らかにした。この欠陥は、企業向けの Workspace アカウントを含む、すべての Google アカウントに影響を及ぼすものであり、イスラエルのサイバー・セキュリティ企業 Astrix Security により GhostToken と名付けられた。同社により、2022年6月19日に発見され、すでに Google に報告されている。そして、9ヶ月が経過した 2023年4月7日に、Google はグローバル・パッチを展開した。


Astrix のレポートには、「この脆弱性の悪用に成功した攻撃者は、すでに認可されているサードパーティ製アプリケーションを、悪意のトロイの木馬アプリに変換することが可能になる。続いて、被害者の Google アカウントにおいて、永続性のある削除不能なアクセスを獲得し、被害者の個人データを永遠に無防備にできる」と記されている。

簡単に説明すると、この欠陥により、攻撃者は被害者の Google アカウントのアプリケーション管理ページから、悪意のアプリを隠すことが可能になる。つまり、このアクセスをユーザーから隠すことで、取り消しを効果的に防ぐことになる。

具体的には、認証された OAuth アプリケーションに関連する GCP プロジェクトを削除し、[削除待ち] の状態にすることで実現されるという。この機能で武装した脅威アクターは、プロジェクトを復元することで不正アプリを隠し、アクセス・トークンを使って被害者のデータを取得し、姿を隠す事が可能だという。

Google Cloud Platform


Astrix は「言い換えるなら、攻撃者は被害者のアカウントに対して、GhostToken を保持することになる」と述べている。

この GhostToken によりアクセスできるデータの種類は、アプリに付与された権限により異なるものになる。これを悪用する敵対者は、たとえば Google ドライブからのファイルの削除や、被害者に成りすましメールによるソーシャルエンジニアリング攻撃、ユーザー・ロケーションの追跡、Google Calendar/Photo/Drive からの機密データの流出などが可能になるという。

Astrix は、「被害者は、Google Marketplace やオンラインで利用できる、数多くの生産性ツールの中から、無害に見えるアプリをインストールすることで、無意識のうちに悪意のアプリケーションへのアクセスを許可してしまうことがある」と付け加えている。

悪意のアプリが許可されると、この脆弱性の悪用に成功した攻撃者は、Google のアカウントにアクセスできるアプリに関する、管理機能を回避することが可能になる。この機能は、Google ユーザーが自身のアカウントに接続されている、サードパーティ製アプリを閲覧できる唯一の場所である。

Google から提供されたパッチは、サードパーティのアクセスページに削除保留状態のアプリを表示するものであり、それらの悪意のアプリに与えられた許可を、ユーザーが取り消すことが可能にして、この問題を解決している。

また、Google Cloud では、Asset Key Thief と呼ばれる、Cloud Asset Inventory API に存在する権限昇格の欠陥が修正された。この脆弱性の悪用に成功した攻撃者は、ユーザーが管理するサービス・アカウントの秘密鍵を盗み、機密データへのアクセスに悪用する可能性があるという。この問題は、2023年2 月に SADA により発見され、2023年3月14日に Google がパッチを適用した。

先日には、クラウド・インシデント対応企業の Mitiga が、GCP における不十分なフォレンジック可視性を悪用する脅威アクターが、機密データを流出させる可能性があることを明らかにしている、それ1カ月ほどが経って、今回の発見が公表された。

Google Cloud ですが、2023/03/06 の「Google Cloud Platform の深刻な問題:データ流出攻撃に対して死角が生じている」でも、かなり深刻な問題が指摘されていました。スキだらけのクラウド・サービスに対して、脅威アクターたちが狙いを定めてくるのも歯間の問題だと思います。よろしければ、2023/03/29 の「クラウド環境の ID を再考する:人間とマシンに付与された権限の 1% だけが使用されている」も、ご参照ください。

%d bloggers like this: