GhostToken Flaw Could Let Attackers Hide Malicious Apps in Google Cloud Platform
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของช่องโหว่ที่ได้รับการแพตช์แล้วใน Google Cloud Platform (GCP) ซึ่งอาจทำให้ผู้โจมตีสามารถปกปิดแอปพลิเคชันอันตรายที่ไม่สามารถลบออกได้ภายในบัญชี Google ของเหยื่อ ช่องโหว่นี้มีชื่อว่า GhostToken ถูกพบโดยบริษัท Astrix Security ซึ่งเป็นบริษัทสตาร์ทอัพความปลอดภัยทางไซเบอร์ของอิสราเอล โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อบัญชี Google ทั้งหมด รวมถึงบัญชี Workspace ช่องโหว่นี้ถูกค้นพบและรายงานไปยัง Google เมื่อวันที่ 19 มิถุนายน 2022 และได้ทำการออกแพตช์อัปเดตมาในวันที่ 7 เมษายน 2023 Astrix Security กล่าวว่าช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงบัญชี Google ของเหยื่อได้อย่างถาวรและไม่สามารถถอดออกได้ โดยการแปลงแอปพลิเคชันของ third-party ที่ได้รับอนุญาตให้เป็นแอปโทรจันที่เป็นอันตราย
ช่องโหว่นี้ทำให้ผู้โจมตีสามารถซ่อนแอปที่เป็นอันตรายจากหน้าการจัดการแอปพลิเคชันบัญชี Google ของเหยื่อได้ ซึ่งจะช่วยป้องกันไม่ให้ผู้ใช้ยกเลิกการเข้าถึงได้อย่างมีประสิทธิภาพ ซึ่งทำได้โดยการลบ Project GCP ที่เชื่อมโยงกับแอปพลิเคชัน OAuth ที่ได้รับอนุญาต โดยการทำให้อยู่ในสถานะ pending deletion ทำให้ผู้โจมสามารถซ่อนแอปที่เป็นอันตรายได้โดยกู้คืน Project และใช้โทเค็นการเข้าถึงเพื่อรับข้อมูลของเหยื่อ และทำให้มองไม่เห็นอีกครั้ง หรือจะกล่าวอีกนัยหนึ่งคือผู้โจมตีถือโทเค็น ghost ในบัญชีของเหยื่อ ซึ่งเป็นที่มาของชื่อช่องโหว่นี้ โดยประเภทของข้อมูลที่ผู้โจมตีสามารถเข้าถึงได้นั้นขึ้นอยู่กับการอนุญาตที่ให้ไว้กับแอป ซึ่งผู้โจมตีสามารถลบไฟล์ออกจาก Google ไดรฟ์ เขียนอีเมลในนามของเหยื่อเพื่อทำการโจมตีแบบ social engineering ติดตามตำแหน่ง ดึงข้อมูลที่ละเอียดอ่อนออกจาก Google และแอปอื่นๆ เป็นต้น ผู้ที่ตกเป็นเหยื่ออาจอนุญาตการเข้าถึงแอปพลิเคชันที่เป็นอันตรายดังกล่าวโดยไม่รู้ตัว โดยการติดตั้งแอปจาก Google Marketplace หรือหนึ่งในเครื่องมือเพิ่มประสิทธิภาพที่มีอยู่มากมายทางออนไลน์
โดยแพตช์อัปเดตของ Google ที่ออกมาได้แก้ปัญหาด้วยการแสดงแอปที่อยู่ในสถานะ pending deletion ในหน้าการเข้าถึงของ third-party ทำให้ผู้ใช้สามารถเพิกถอนการอนุญาตที่ให้สิทธิ์กับแอปดังกล่าวได้ การพัฒนาดังกล่าวเกิดขึ้นเมื่อ Google Cloud แก้ไขข้อบกพร่องในการเพิ่มระดับสิทธิ์ใน API ของ Cloud Asset Inventory ซึ่งเรียกว่า Asset Key Thief ซึ่งอาจถูกโจมตีเพื่อขโมยคีย์ส่วนตัวของบัญชีบริการที่จัดการโดยผู้ใช้และเข้าถึงข้อมูลที่มีค่าได้ ปัญหาที่ค้นพบโดย SADA เมื่อต้นเดือนกุมภาพันธ์นี้ได้รับการแก้ไขโดยเมื่อวันที่ 14 มีนาคม 2023
https://thehackernews.com/2023/04/ghosttoken-flaw-could-let-attackers.html