Ключи api Google остаются активными после удаления

Исследователь бельгийского стартапа Aikido Security Джо Леон обнаружил, что ключи программный интерфейс могут оставаться активными до 23 минут после удаления, вопреки заявления облачного провайдера. Это даёт злоумышленникам маленький, но значительный промежуток времени для дальнейшего злоупотребления.

Леон проанализировал период отзыва — время между удалением ключа и его последней успешной аутентификацией — для ключей api облачного гиганта. Он заявил, что клиенты Google Cloud Platform (GCP) ожидают немедленного прекращения доступа к программный интерфейс после удаления ключа, но это не так.

В серии тестов Леон обнаружил, что медианный период отзыва составляет приблизительно 16 минут, а самый длинный — до 23 минут, «невероятно долгое время» для успешной аутентификации ключей api.

«Злоумышленник, удерживающий ваш удалённый ключ, может продолжать отправлять запросы, пока один из них не достигнет сервера, который ещё не обновился. Если Gemini включён в проекте, он может выгрузить загруженные вами файлы и украсть кэшированные сообщения. Консоль GCP не покажет ключ и не сообщит вам, что он всё ещё работает. Вы полагаетесь на инфраструктуру Google, которая в конечном итоге обновится», — сказал Леон. 

Исследователь рассказал, что его вдохновило на изучение окон отзыва ключей в GCP исследование Эдуарда Агаврилоае, соучредителя Offensai. Оно было опубликовано в конце прошлого года и было посвящено задержкам отзыва учётных данных AWS. Но, как отметил Леон, время этих задержек составляли всего четыре секунды, и в AWS отреагировали на проблему. 

Окна отзыва ключей api Google, напротив, были значительно дольше. Исследовательская группа Aikido провела 10 тестов в течение двух дней, в ходе которых были созданы виртуальные машины (ВМ) в разных регионах GCP. Затем ключи api удаляли и отправляли до пяти аутентифицированных запросов в секунду, чтобы посмотреть, как долго они работали после удаления.

Результаты тестов оказались «крайне непредсказуемыми»: в одном из испытаний метрика успешности аутентификации составил 79% через минуту, в то время как в другом — всего 5%. В дополнение к этого, в Aikido обнаружили, что показатели успешности значительно различаются в зависимости от региона ВМ.

В частности, в регионе asia-southeast1 медианный метрика успешности запросов на аутентификацию составил всего 22% через минуту, в то время как показатели успешности в регионах us-east1 и europe-west1 достигали около 49%. Леон отметил, что виртуальные машины, расположенные дальше от США, быстрее обрабатывали запросы на удаление, и это «противоположно тому, чего можно было бы ожидать», хотя причина такого поведения неясна. «Маршрутизация запросов Google сложнее, чем “регион виртуальной машины равен региону сервера”, и виртуальная машина в Сингапуре не обязательно взаимодействует с серверами в Сингапуре. Но эта закономерность сохранялась во всех тестах, а это указывает на то, что разница обусловлена ​​региональной инфраструктурой, кэшированием или привязкой маршрутизации», — написал Леон. 

Он сообщает, что региональные различия «целиком обусловлены тем, откуда исследователь (или злоумышленник) отправлял свои запросы», и не зависят от географического местоположения клиента.

Задержки при удалении ключей программный интерфейс осложняют реагирование на инциденты. В отчёте Aikido говорится, что пользовательский интерфейс GCP обещает: «После удаления ключи больше нельзя использовать для отправки запросов api». Это оставляет клиентов в неведении по сравнению с того, когда ключ api полностью удалён. 

Периоды аннулирования ключей api Google, а равным образом непредсказуемые показатели успешности аутентификации усложняют работу групп реагирования на инциденты, которые сталкиваются с потенциальным взломом.

«Это разрушает привычную модель работы групп реагирования на утечки учетных данных. Предполагается, что после нажатия кнопки “Удалить” или “Аннулировать” учётные информация больше не работают», — сообщает Леон. 

Теперь командам реагирования на инциденты необходимо помнить, что для учётных данных GCP существует временной промежуток, в течение которого эти «удалённые» информация всё ещё работают. По этой причине Aikido рекомендовала командам безопасности и специалистам по реагированию на инциденты применять 30-минутный интервал для удаления ключей программный интерфейс Google. Кроме того, организациям следует отслеживать свои запросы программный интерфейс по учётным данным через раздел «Включённые api и сервисы» в консоли GCP и проверять запросы api по учётным данным. «Если вы видите неожиданное использование этих учётных данных после удаления, кто-то может активно их эксплуатировать», — создал текст Леон.

Aikido сообщила о результатах своей работы в Google, но организация закрыла доклад с пометкой «не будет исправлено».

Леон отметил, что Google быстрее аннулирует другие типы учётных данных: для служб оно срабатывает примерно за пять секунд, а свежий структура ключей программный оболочку Gemini полностью аннулируется приблизительно за одну минуту. С точки зрения исследователя, сокращение сроков отзыва ключей программный интерфейс Google «технически возможно».

«Распределённые системы в масштабах Google — сложная задача, и это не критика команды GCP IAM. Но 23-минутный срок отзыва принципиально противоречит ожиданиям пользователей от кнопки удаления», — заключил Леон.

Ранее Google опубликовала эксплойт-код для неустранённой уязвимости в кодовой базе своего браузера Chromium. Она угрожает миллионам пользователей Chrome, Microsoft Edge и фактически всех других браузеров на основе движка. Исходник использует программный интерфейс Browser Fetch, стандарт, позволяющий скачивать длинные видео и другие большие файлы в фоновом режиме. Злоумышленник может использовать эксплойт для создания соединения для мониторинга некоторых аспектов использования браузера пользователем, а равным образом в качестве прокси для просмотра сайтов и запуска атак типа «отказ в обслуживании».