เกิดปัญหาขัดข้องบางส่วนในฟีเจอร์ของ Google OAuth

 (trufflesecurity.com)
1 คะแนน โดย GN⁺ 2023-12-22 | ยังไม่มีความคิดเห็น | แชร์ทาง WhatsApp

พบช่องโหว่ใน Google OAuth

  • พบช่องโหว่ใน Google OAuth ที่ทำให้พนักงานที่ลาออกจากบริษัทแล้วสามารถเข้าถึงแอปพลิเคชันอย่าง Slack และ Zoom ได้แบบไม่มีกำหนด
  • ช่องโหว่นี้แม้แต่คนทั่วไปที่ไม่ใช่สายเทคนิคก็สามารถเข้าใจและนำไปใช้ในทางที่ผิดได้ง่าย และ Google ยังไม่ได้ดำเนินมาตรการเพื่อลดความเสี่ยงนี้
  • ไทม์ไลน์ของเหตุการณ์มีดังนี้: 4 สิงหาคม เปิดเผยช่องโหว่ต่อ Google โดยคาดว่าจะมีแอปพลิเคชันได้รับผลกระทบหลายร้อยรายการ 7 สิงหาคม ปัญหาถูกจัดหมวดหมู่ 5 ตุลาคม Google จ่ายเงินรางวัล $1337 สำหรับปัญหานี้ 25 พฤศจิกายน มีการเปิดเผยแบบส่วนตัวในวงกว้างต่อแอปพลิเคชันที่ได้รับผลกระทบหลายสิบรายการรวมถึง Zoom และ Slack และ 16 ธันวาคม มีการเปิดเผยสู่สาธารณะหลังแจ้ง Google ไปแล้ว 134 วัน

เรื่องราวเบื้องหลัง

  • มีกรณีที่หนึ่งในผู้ทดสอบเบต้าของเครื่องมือ Forager จาก Truffle Security พบและเปิดเผยการล็อกอินที่ได้รับผลกระทบจากช่องโหว่ Microsoft OAuth
  • ผู้เขียนประหลาดใจที่ Microsoft ส่ง email claim ที่ไม่ได้ถูกสร้างหรือยืนยันโดย Microsoft และข้อเท็จจริงที่ว่า email claim นั้นเองไม่น่าเชื่อถือ
  • จากนั้นจึงพบคำเตือนในเอกสาร OIDC ของ Google เกี่ยวกับการใช้ email เป็นตัวระบุ

บัญชี Google ที่ไม่ใช่ Gmail

  • สามารถสร้างบัญชี Google โดยใช้อีเมลเดิมที่ไม่ใช่ Gmail ได้
  • บัญชี Google ใหม่เหล่านี้สามารถส่ง Yahoo email claim ได้
  • เหตุผลที่เอกสารของ Google เตือนว่าไม่ควรใช้อีเมลเป็นตัวระบุหลัก ก็เพราะหากมีการแก้ไขอีเมลที่ไม่ใช่ Gmail ในการตั้งค่า และต่อมามีการสร้างบัญชีใหม่ด้วยอีเมลที่เคยถูกแก้ไขไปแล้ว บัญชี Google ที่แตกต่างกันสองบัญชีอาจส่ง email claim เดียวกันได้

จุดที่เป็นปัญหา

  • สามารถสร้างบัญชี Google ผ่านองค์กร Google ของบริษัทโดยใช้อีเมล alias และการส่งต่อแบบเครื่องหมายบวกในอีเมลได้
  • ที่อยู่อีเมลเหล่านี้ถูก parse ในหลายองค์กรที่ได้รับผลกระทบ และใช้โดเมนท้ายอีเมลเพื่อตัดสินว่าสามารถล็อกอินได้หรือไม่
  • บัญชี Google ที่ไม่ใช่ Gmail เหล่านี้ไม่ได้เป็นสมาชิกขององค์กร Google จริง ๆ จึงไม่ปรากฏในค่าตั้งค่าผู้ดูแลระบบหรือรายการผู้ใช้ Google ขององค์กร

แนวทางแก้ไข

  • องค์กรสามารถป้องกันตนเองได้ด้วยการปิดใช้งาน Google login และบังคับใช้ SAML อย่างเคร่งครัด
  • ผู้ให้บริการมีวิธีตัดสินการเป็นสมาชิกในองค์กร Google ได้ แต่ HD claim จะถูกละเว้นสำหรับบัญชีที่ไม่ได้เป็นสมาชิกขององค์กร Google
  • Google สามารถดำเนินการได้หลายขั้นตอนเพื่อแก้ปัญหานี้ในวงกว้างสำหรับทุกคน

ผลกระทบเพิ่มเติม

  • มีความเป็นไปได้ทางเทคนิคที่จะเข้าถึง Zoom และ Slack ขององค์กรได้ แม้ไม่มีสิทธิ์เข้าถึงเริ่มต้นขององค์กรนั้น
  • สามารถสร้าง support ticket ทางอีเมลผ่านระบบสนับสนุนและระบบตั๋วบางประเภท เช่น Zendesk แล้วใช้สิ่งนี้สร้างบัญชี Google เพื่อเข้าสู่ระบบผ่าน OAuth ได้

ความเห็นส่งท้าย

  • การที่อดีตพนักงานยังคงเข้าถึงแพลตฟอร์มอย่าง Slack และ Zoom ได้ต่อไปจากช่องโหว่ในระบบ OAuth ของ Google ไม่ใช่แค่ความผิดพลาดเล็กน้อย แต่เป็นข้อบกพร่องด้านความปลอดภัยที่ร้ายแรง
  • Google มีความสามารถในการใช้การแก้ไขในวงกว้างเพื่อลดผลกระทบของปัญหานี้ และจุดประสงค์ของการเปิดเผยต่อสาธารณะคือเพื่อผลักดันให้เกิดการเปลี่ยนแปลงจริง
  • แม้ Google จะจัดหมวดหมู่ปัญหานี้ได้อย่างรวดเร็ว แต่ก็ไม่ได้ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดของตนเองในการแก้ปัญหาภายใน 90 วัน ทำให้เรื่องนี้ถูกเปิดเผยในวันที่ 134

ความเห็นของ GN⁺

  • บทความนี้เปิดเผยปัญหาความปลอดภัยร้ายแรงที่ทำให้อดีตพนักงานยังคงเข้าถึงแพลตฟอร์มสื่อสารสำคัญของบริษัทได้ ผ่านช่องโหว่ในระบบ Google OAuth
  • ช่องโหว่นี้อาจเป็นภัยคุกคามใหญ่ต่อความปลอดภัยของข้อมูลภายในองค์กร และอาจนำไปสู่การรั่วไหลของข้อมูลอ่อนไหวของบริษัท
  • การที่ Google ไม่ได้ดำเนินมาตรการเชิงรุกต่อปัญหานี้ ก่อให้เกิดประเด็นด้านความปลอดภัยสำคัญทั้งต่อองค์กรและผู้ใช้ทั่วไป และตอกย้ำความจำเป็นในการยกระดับความตระหนักด้านไซเบอร์ซีเคียวริตี้และเสริมความแข็งแกร่งของโปรโตคอลความปลอดภัย

บทความที่เกี่ยวข้อง

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น