MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
La découverte la plus critique, une chaîne d’exécution de code à distance (RCE), permet à un attaquant de prendre le contrôle total d’un serveur Looker en exécutant à distance ses propres commandes malveillantes. Cette action fournit essentiellement aux attaquants les « clés du royaume », ce qui leur permet de voler des secrets sensibles, de manipuler des données ou de pénétrer plus avant dans le réseau interne. Dans les instances cloud, la vulnérabilité pourrait potentiellement mener à un accès inter-tenants.
« Ce niveau d’accès est particulièrement dangereux car Looker agit comme un système nerveux central pour les informations de l’entreprise, et une faille pourrait permettre à un attaquant de manipuler les données ou de se déplacer plus profondément dans le réseau interne privé d’une entreprise », a déclaré Liv Matan, ingénieur de recherche senior chez Tenable, qui a dirigé la découverte.
La seconde vulnérabilité révélée par les chercheurs permet le vol complet de la base de données de gestion interne de Looker. En incitant le système à se connecter à son propre « cerveau privé », les chercheurs ont utilisé une technique spécialisée d’extraction de données pour télécharger des informations d’identification et des secrets de configuration sensibles.
Si Google a réagi rapidement pour sécuriser son service cloud géré, le risque reste élevé pour les organisations qui hébergent Looker sur leurs propres serveurs privés ou sur site. Ces organisations doivent appliquer manuellement des correctifs de sécurité pour fermer ces portes dérobées, car elles assument actuellement toute la charge de la protection de leur infrastructure contre une éventuelle prise de contrôle administrative.
« Étant donné que Looker est souvent le système nerveux central des données les plus sensibles d’une organisation, la sécurité de son architecture sous-jacente est cruciale. Cependant, il reste difficile de sécuriser de tels systèmes tout en offrant aux utilisateurs des capacités puissantes telles que l’exécution de SQL ou l’interaction indirecte avec le système de fichiers de l’instance de gestion », a déclaré Liv Matan. Pour surveiller l’exploitation potentielle de ces vulnérabilités, les administrateurs doivent examiner leurs systèmes à la recherche d’indicateurs de compromission spécifiques. Tout d’abord, ils doivent inspecter le système de fichiers à la recherche de fichiers inattendus ou non autorisés dans le répertoire .git/hooks/ des dossiers du projet Looker, en prêtant une attention particulière aux scripts nommés pre-push, post-commit, ou applypatch-msg qui pourraient avoir été placés là par un attaquant. En outre, les équipes de sécurité doivent examiner les journaux d’application pour y déceler des signes d’abus de connexion interne, en recherchant en particulier des erreurs SQL inhabituelles ou des schémas compatibles avec une injection SQL basée sur des erreurs et ciblant les connexions internes à la base de données Looker, comme looker__ilooker.
Pour une analyse technique complète des deux vulnérabilités « LookOut », vous pouvez consulter le rapport de recherche complet sur le blog de Tenable.
