روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سازمان‌ها گاهی برای احراز هویت کردن کاربران خود به Google OAuth نیاز دارند. آن‌ها دوست دارند اینطور فرض کنند که گوگل توان انجام هر کاری را دارد و بسیار خرمند است پس حکم‌هایی که در مورد اعطا یا رد دسترسی به کاربر می‌دهد چشم‌بسته قبول است. افسوس که چنین ایمان کورکورانه‌ای خطرناک است: گزینه Sign in with Google به شدت نقص دارد. در دسامبر 2023 محققی به نام دیلان آیری در Truffle Security آسیب‌پذیری مخربی در Google OAuth کشف کرد که به کارمندان اجازه می‌دهد دسترسی به منابع سازمانی را بعد از جدایی با کارفرمای خود حفظ کنند. همچنین راه‌هایی هم وجود دارد که یک فرد کاملاً غریبه از این باگ سوءاستفاده کند و به دسترسی برسد.

مشکل آپشن Google OAuth sign-in چیست؟

این آسیب‌پذیری به دلیل وجود عامل‌های بسیار شکل گرفته است: گوگل به کاربران اجازه می‌دهد با استفاده از هر ایمیلی –نه فقط جیمیل- اکانت گوگلی بسازند. برای sign in کردن به Google Workspace شرکت، اغلب آدرس های ایمیل با نام دامنه شرکت استفاده می‌شوند. برای مثال کارمند شرکت فرضی به نام Example ممکن است آدرس ایمیلش alanna@example.com باشد. دوم اینکه گوگل-در کنار تعدادی سرویس دیگر- از آنچه بدان آدرس‌دهی فرعی[1] می‌گویند حمایت می‌کند. این قابلیت به شما اجازه می‌دهد با افزودن علامت به اضافه (+) به یک آدرس ایمیل فعلی که همراهش هرچه دلتان خواست خواهد آمد، آدرس مستعار درست کنید. یکی از موارد استفاده می‌تواند مدیریت جریان‌های ایمیل باشد. برای مثال، موقع رجیستر اکانت با بانک آنلاین فرد می‌تواند آدرس alanna+bank@example.com و موقع ثبت با ارائه‌دهنده سرویس مخابرات آدرس alanna+telco@example.com را مشخص کند. به طور رسمی، اینها آدرس‌های متفاوت هستند اما ایمیل‌ها در یک میل‌باکس واحد خواهند رسید- alanna@example.com. و چون محتوای فیلد To متفاوت است، پیام‌های دریافتی می‌توانند به طور متفاوتی با کاربرد برخی قوانین مدیریت شوند. سوم اینکه در بسیاری از پلت‌فرم‌های کاری ماند زوم و اسلک، احراز هویت با دکمه Sign In with Google از دامنه آدرس ایمیل مشخص‌شده موقع ثبت اکانت گوگل استفاده می‌کند. پس در مثال ما برای وصل شدن به example.slack.com فضای کاری Example Inc باید آدرس @example.com

 را داشته باشید. و مورد آخر که مورد چهارم است: این امکان وجود دارد که بشود آدرس ایمیل را در اکانت گوگل ادیت کرد. اینجا آدرس دهی فرعی می‌تواند با فرضاً تغییر alanna@example.com به alanna+whatever@example.com به کار گرفته شود. وقتی این کار انجام شد، اکانت جدید گوگل می‌تواند با آدرس alanna@example.com رجیستر شود. این منجر به دو حساب مختلف گوگل می‌شود که می‌توانند برای ورود به سیستم عامل های کاری Example Inc.  مانند Slack و Zoom  از طریق Google OAuth استفاده شوند.  مشکل این است که آدرس دوم برای ادمین شرکت Google Workspace نامرئی می‌ماند، بنابراین آنها نمی‌توانند این حساب را حذف یا غیرفعال کنند. پس یک کارمند اخراج شده همچنان می‌تواند به منابع شرکت دسترسی داشته باشد.

اکسپلویت آسیب‌پذیری Google OAuth و دریافت ورودی بدون دسترسی اولیه

همه اینها چقدر در عمل، شدنی است؟ کاملاً شدنی است. آیری امکان اکسپلویت این آسیب‌پذیری را در Google OAuth در اسلک و زوم بررسی کرد و پی برد به طور قطع امکان ساخت چنین اکانت‌های فانتومی وجود دارد. کاربران غیرمتخصص و معمولی نیز می‌توانند از این مسئله سؤاستفاده کنند: این کار هیچ به مهارت و دانش نیاز ندارد. در نظر داشته باشید که جدا از اسلک و زوم، این آسیب‌پذیری روی ابزارهای کمتر شناخته که تعدادشان کم نیست و از قضا از احراز Google OAuth استفاده می‌کنند هم اثر می‌گذارد. در برخی موارد مهاجمین می‌توانند به ابزارهای کلود سازمان دسترسی پیدا کنند حتی اگر از ابتدا به ایمیل سازمانی شرکت تارگت دسترسی نداشتند. سیستم تیکتینگ Zendesk برای مثال می‌تواند برای این منظور استفاده شود. ایده این است که این سرویس از طریق ایمیل اجازه سابمیت کردن درخواست‌ها را می‌دهد. آدرس ایمیل با دامنه شکت برای درخواست ساخته می‌شود و سازنده درخواست (که هر کسی می‌تواند باشد) می‌تواند محتوای همه مکاتبات مربوط به درخواست را مشاهده کند. اینطور به نظر می‌رسد که امکان دار کاربر با این آدرس و از طریق این درخواست اکانت گوگل ثبت کرده و با لینک تأیید، ایمیل را دریافت کند. سپس می‌توانند به طور موفقیت‌آمیزی آسیب‌پذیریِ Google OAuth را برای ورود به زوم و اسلک شرکت هدف بدون حتی دسترسی اولیه به منابع آن اکسپلویت کنند.

راه مقابله با آسیب‌پذیری Google Oauth

این محقق چند ماه پیش در مورد آسیب‌پذیری مذکور از طریق برنامه باگ بانتی (اعطای جایزه بابت پیدا کردن باگ) به گوگل خبر داد. این شرکت باگ را جدی دانست و حتی 1337 دلار نیز به او پرداخت کرد. آیری افزون بر این مشکل را به چند سرویس آنلاین از جمله اسلک نیز گزارش داد. با این وجود هنوز کسی برای رفع این باگ عجله‌ای ندارد پس محافظت پای خود کارمندان شرکتی می‌افتد که پلت‌فرم‌های کاری‌شان را مدیریت می‌کنند. خوشبختانه در بیشتر موارد این مشکل خاصی ایجاد نمی‌کند: همین که گزینه Sign In with Google غیرفعال شود کافی است. و، طبیعتاً، این ایده خوبی است که از نفوذ احتمالی بیشتر به زیرساخت اطلاعات سازمان از طریق پلتفرم هایی مانند Slack، که به معنای نظارت بر آنچه در زیرساخت مذکور می گذرد، محافظت کنید.  اگر بخش امنیت اطلاعات شرکت شما فاقد منابع یا تخصص برای این کار است، از یک سرویس خارجی مانند Kaspersky Managed Detection and Response استفاده کنید.

[1] sub-addressing

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.