បញ្ហានៃការ Design Flaw នៅក្នុង Google Workspace អាចឱ្យហេគឃ័រចូលប្រើដោយគ្មានការអនុញ្ញាត

0

អ្នកស្រាវជ្រាវសន្តិសុខសាយប័របានលម្អិតពី បញ្ហាឌីស្សាញដ៏ធ្ងន់ធ្ងរ (Severe Design Flaw) នៅក្នុងមុខងារ Domain-Wide Delegation (DWD) របស់ Google Workspace ដែលអាចត្រូវហេគឃ័រកេងចំណេញដើម្បីសម្របសម្រួលការបង្កើនសិទ្ធិ និងទទួលសិទ្ធិចូលប្រើ Workspace APTs ដោយមិនចាំបាច់មានសិទ្ធិជា Admin។

ក្រុមហ៊ុនសន្តិសុខសាយប័រ Hunters បានថ្លែងថា ការកេងចំណេញបែបនេះអាចបណ្តាលឱ្យមានការលួចអ៊ីម៉ែលពី Gmail, ការទាញយកទិន្នន័យពី Google Drive ឬធ្វើសកម្មភាពផ្សេងៗដោយមិនចាំបាច់មានការអនុញ្ញាតនៅក្នុង Google Workspace APIs នៅលើអត្តសញ្ញាណនៅក្នុង Domain គោលដៅឡើយ។ បញ្ហានៅក្នុងការឌីស្សាញនៅតែមានសកម្មភាពមកដល់ពេលនេះ មានឈ្មោះហៅថា DeleFriend វាមានសមត្ថភាពរៀបចំផ្ទេរការងារដែលមានស្រាប់នៅក្នុង Google Cloud Platform (GCP) និង Google Workspace ដោយមិនត្រូវការសិទ្ធិជា Admin។ នៅពេលស្នើសុំ Comment ក្រុមហ៊ុន Google បានបដិសេធចំពោះការកំណត់លក្ខណៈនេះថាជាបញ្ហាផ្នែកឌីស្សាញ។ នៅក្នុងរបាយការណ៍ពុំបានកំណត់បញ្ហាសុវត្ថិភាពមូលដ្ឋាននៅក្នុងផលិតផលរបស់ក្រុមហ៊ុនទេ។ ល្អបំផុត ក្រុមហ៊ុនក៏បានលើកទឹកចិត្តអ្នកប្រើប្រាស់ឱ្យប្រាកដថាគណនីទាំងអស់មានសិទ្ធិចូលប្រើក្នុងកម្រិតមួយ ការធ្វើដូច្នេះ គឺជាវិធីទប់ស្កាត់នឹងការវាយប្រហារប្រភេទនេះ។

សម្រាប់ Google ការរៀបចំផ្ទេរការងារ Domain (Domain-wide delegation) គឺជាលក្ខណៈដ៏អំណោយ ផលដល់ Third-Party App និង Internal App ដើម្បីដំណើរការទិន្នន័យរបស់អ្នកប្រើនៅក្នុងមជ្ឈដ្ឋាន Google Workspace របស់ស្ថាប័នមួយ។ បញ្ហាគឺជាឬសគល់ ដែលជាការកំណត់រចនាសម្ព័ន្ធ ឬជាការផ្ទេរ Domain (Domain Delegation Configuration) ហើយក៏ត្រូវបានកំណត់ដោយ Service Account Source Identifier (OAuth ID) និងមិនមែន Private Keys ជាក់លាក់នោះទេ ដែលភ្ជាប់ជាមួយនឹង Service Account Identity Object។ ជាលទ្ធផល ហេគឃ័រមានសិទ្ធិចូលប្រើ GCP Project គោលដៅអាចបង្កើត JSON Web Tokens (JWTs) ជាច្រើនផ្សំពី OAuths Scopes ផ្សេងគ្នា ដែលមានបំណងភ្ជាប់ Private Key Pairs ដែលជោគជ័យ និង OAuth Scopes ដែលមានការអនុញ្ញាតនោះបង្ហាញថា Service Account មានការផ្ទេរសិទ្ធិ Domain-Wide។

ដើម្បីដាក់ Private Keys ផ្សេងគ្នាបាន IAM កំណត់ថាបានបង្កើត Private Keys ថ្មី ដើម្បីទាក់ទងនឹង GCP Service Account Resource ដែលមានសិទ្ធិ Domain-Wide Delegation អាចត្រូវបានជំរុញឱ្យបង្កើត Private Key ថ្មី ដែលអាចត្រូវបានប្រើសម្រាប់ដំណើរការ API Calls ទៅកាន់ Google Workspace ជំនួសអត្តសញ្ញាណ (Identities) ផ្សេងនៅក្នុង Domain ។ ការកេងចំណេញដែលជោគជ័យ គឺជាបញ្ហាដែលអាចទាញយកទិន្នន័យសំខាន់ៗពី Google Services ដូចជា Gmail, Google Drive និង Calendar ជាដើម។ អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន Hinters បានថ្លែងថា សកម្មភាពទាំងនេះអាចនឹងមានផលវិបាកធ្ងន់ធ្ងរកើតឡើងប្រសិនបើហេគឃ័រអាចលួចចូលប្រើប្រាស់លើបញ្ហា Domain-wide Delegation នេះ។ មិនត្រឹមតែអាចប៉ះពាល់ដល់អត្តសញ្ញាណតែមួយដូចជា OAuth Consent ប៉ុណ្ណោះនោះទេ ប៉ុន្តែការកេងចំណេញលើ DWD ជាមួយនឹងការផ្ទេរសិទ្ធិដែលមាននោះ វាអាចបណ្តាលឱ្យប៉ះពាល់ដល់អត្តសញ្ញាណជាច្រើនទៀតនៅក្នុង Workspace Domain៕

https://thehackernews.com/2023/11/design-flaw-in-google-workspace-could.html

ថ្ងៃទី២៨ ខែវិច្ឆិកា

LEAVE A REPLY

Please enter your comment!
Please enter your name here