Los usuarios de la nube de Google deben revisar y reparar una vulnerabilidad conocida como GhostToken
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Una vulnerabilidad de seguridad en la plataforma en la nube de Google (GCP) podría haber permitido a los atacantes cibernéticos ocultar una aplicación maliciosa que no se puede eliminar dentro de la cuenta de Google de la víctima, condenando la cuenta a un estado de infección permanente e indetectable.
El error denominado “GhostToken”, descubierto el 20 de abril de 2023, es una aplicación maliciosa que podría haber allanado el camino para una sorprendente variedad de actividades maliciosas, que incluyen leer la cuenta de Gmail de la víctima, tener acceso a archivos en Google Drive y Google Photos, ver el calendario de Google y seguimiento de ubicaciones a través de Google Maps.
Con este tipo de información, los atacantes pueden diseñar ataques de suplantación de identidad extremadamente convincentes o incluso poner a la persona en peligro físico.
De igual forma, los ciberatacantes, pueden eliminar archivos de Google Drive, escribir correos electrónicos desde la cuenta de Gmail de la víctima para realizar ataques de ingeniería social, exfiltrar datos confidenciales de Google Calendar, Photos o Docs, entre otras acciones.
Google Cloud Platform está diseñada para alojar cualquiera de las miles de aplicaciones para usuarios finales que, al igual que otros ecosistemas de apps, tienen una tienda oficial donde se pueden descargar fácilmente, en este caso, Google Marketplace. Una vez que el usuario autoriza la descarga, la aplicación recibe un token en segundo plano, lo que otorga acceso a la cuenta de Google en función de los permisos que solicita la aplicación.
Usando la vulnerabilidad de GhostToken, los atacantes cibernéticos pueden crear una aplicación maliciosa que pueden plantar en una de las tiendas de aplicaciones, haciéndose pasar por una utilidad o servicio legítimo. Pero una vez descargada, la aplicación se ocultará de la página de administración de aplicaciones de la cuenta de Google de la víctima. Cabe señalar que para el usuario, la aplicación maliciosa pasa totalmente desapercibida.
Esta falla puede tener consecuencias de gran alcance tanto para las empresas como para las personas y sirve como una llamada de atención para recordar cuánto acceso tienen las aplicaciones en la nube a nuestras actividades diarias, así como el peligro que el “shadow IT” puede tener para las organizaciones.
Al parecer, el problema técnico surgió de la forma en que Google procesa los clientes de OAuth cuando son dados de baja. Los clientes de OAuth de terceros a menudo se integran en las aplicaciones para permitirles iniciar la sesión de los usuarios más fácilmente, al hacer uso de la autenticación existente con otros usuarios de confianza. Un ejemplo común es el <iniciar sesión con Facebook> que ofrecen muchos sitios web.
En cuanto a cómo podría explotarse, comienza con el hecho de que cada aplicación que se ofrece a los usuarios de Google en Google Marketplace está asociada con un único “proyecto” de GCP que la aloja. Si el propietario del proyecto GCP, generalmente el desarrollador lo deshecha, se activa un estado de eliminación pendiente que permanece así durante 30 días, hasta que se purga y se elimina por completo.
Estos proyectos pendientes de eliminación se pueden restaurar por completo a voluntad del propietario desde una página dedicada a tal fin. Sin embargo, para los usuarios finales, la aplicación desaparece inmediatamente de la página de administración de <aplicaciones con acceso a su cuenta>.
Por lo tanto, el escenario de ataque es así:
Una víctima autoriza una aplicación OAuth aparentemente legítima (pero, en realidad, maliciosa). En segundo plano, el atacante recibe un token para la cuenta de Google de la víctima.
Los atacantes eliminan el proyecto asociado con la aplicación OAuth autorizada, que entra en un estado de eliminación pendiente: la aplicación se oculta y no se puede eliminar desde la perspectiva de la víctima.
Cada vez que los atacantes desean obtener acceso a los datos de la víctima, restauran el proyecto, obtienen un nuevo token de acceso y lo usan para acceder a los datos de la víctima.
Luego, los atacantes vuelven a ocultar inmediatamente la aplicación a la víctima.
Para mantener la persistencia, el bucle de ataque debe ejecutarse periódicamente antes de que se elimine el proyecto pendiente.
Este tipo de vulnerabilidad no se había identificado debido a que estaba relacionada con una función central que, aparentemente, se comportaba como debería: brindar flexibilidad a los desarrolladores sin obstruir a los usuarios finales con notas sobre aplicaciones que ya no pueden usar.
Las implicaciones para la seguridad en la nube, especialmente en lo que corresponde a las organizaciones y la información privada de tantas personas hoy en día, es que sí, a veces se interpone en el camino de la productividad o la movilidad personal, por lo que se tiene que pensar en estos temas desde la fase de diseño y evaluar las funciones para lograr el equilibrio entre el valor para el usuario y la seguridad.
A principios de abril de 2023, Google lanzó un parche global que ha solucionado el problema al asegurarse de que las aplicaciones en un estado pendiente de eliminación aún estén visibles en la pantalla de administración de aplicaciones de un usuario.
Sin embargo, se recomienda que los administradores de Google Workspace busquen aplicaciones que puedan haber atacado a los usuarios antes del 7 de abril 2023, fecha en que fue lanzado el parche de seguridad.
Para más información, visite: https://www.silikn.com/