MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Tenable Research a mis au jour une série de vulnérabilités dans Google Looker Studio, baptisée « LeakyLooker », qui permettait à des attaquants d’exécuter des requêtes SQL arbitraires sur les bases de données des victimes et d’exfiltrer des données sensibles au sein même des environnements Google Cloud des organisations.
La recherche « LeakyLooker » a identifié neuf vulnérabilités inédites de type cross-tenant (inter-tenant). Ces vulnérabilités exposaient des données sensibles dans différents environnements Google Cloud, et pouvaient potentiellement affecter toute organisation utilisant Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage, ainsi que pratiquement tout autre connecteur de données lié à Looker Studio.
Looker Studio est un outil conçu pour sa flexibilité, qui fournit des données en temps réel et permet aux utilisateurs de se connecter à presque toutes les sources de données. Parvenir à une isolation totale tout en fournissant des données en temps réel est un défi technique qui peut comporter des failles. Les chercheurs de Tenable ont pu démontrer comment l’architecture « Live Data » de Looker Studio, conçue pour actualiser des rapports en temps réel, était en réalité un talon d’Achille architectural. Les attaquants auraient pu exploiter cette faille via des vulnérabilités 0-click (sans interaction de la victime) et 1-click (la victime ouvre une page malveillante contrôlée par l’attaquant).
Un défaut logique baptisé « Sticky Credential » dans la fonctionnalité « Copy Report » a notamment été mis en évidence : il permettait à des utilisateurs non autorisés de cloner des rapports tout en conservant les identifiants du propriétaire d’origine, leur donnant ainsi la possibilité de supprimer ou modifier des tables de données. Un autre scénario à fort impact impliquait une exfiltration de données en « 1-click » : le partage d’un rapport personnalisé forçait le navigateur de la victime à exécuter du code malveillant qui envoyait des requêtes « ping » à un projet contrôlé par l’attaquant pour reconstituer des bases de données entières à partir des journaux.
« Ces vulnérabilités ont rompu la promesse fondamentale selon laquelle un “lecteur” ne devrait jamais pouvoir contrôler les données qu’il visualise », a déclaré Liv Matan, ingénieur de recherche senior chez Tenable. « Notre découverte des vulnérabilités “LeakyLooker” a démontré l’existence d’une nouvelle surface d’attaque qui peut être exploitée par des attaquants dans les environnements cloud. »
Suite à cette divulgation responsable menée par Tenable, Google a corrigé les neuf vulnérabilités à l’échelle mondiale. Pour prévenir des expositions similaires à l’avenir, les organisations ont tout intérêt à revoir régulièrement les droits d’accès en lecture seule attribués aux rapports publics et privés, ainsi qu’à considérer les connecteurs BI comme des points d’entrée critiques vers l’infrastructure cloud, tout en révoquant l’accès de Looker Studio aux connecteurs de données ou services qui ne sont plus activement utilisés.
1. Accès non autorisé cross-tenant – Injection SQL en 0-click sur les connecteurs de bases de données – TRA-2025-28
2. Accès non autorisé cross-tenant – Injection SQL en 0-click via des identifiants stockés – TRA-2025-29
3. Injection SQL cross-tenant sur BigQuery via des fonctions natives – TRA-2025-27
4. Fuite de sources de données cross-tenant via des hyperliens – TRA-2025-40
5. Injection SQL cross-tenant sur Spanner et BigQuery via des requêtes personnalisées sur la source de données d’une victime – TRA-2025-38
6. Injection SQL cross-tenant sur BigQuery et Spanner via l’API de liaison – TRA-2025-37
7. Fuite de sources de données cross-tenant via le rendu d’images – TRA-2025-30
8. Fuite XS cross-tenant sur des sources de données arbitraires via le comptage de frames et des oracles temporels – TRA-2025-31
9. Attaque DOW (Déni de portefeuille) cross-tenant via BigQuery – TRA-2025-41
