Huntersは11月28日(現地時間)、「DeleFriend: Severe design flaw in Domain Wide Delegation could leave Google Workspace vulnerable for takeover」において、Google Workspaceのドメイン全体の委任機能に設計上の脆弱性を発見したと発表した。この脆弱性により既存の委任が悪用され、権限の昇格やWorkspace APIに不正アクセスされる可能性があるとしている。Huntersはこの脆弱性を「DeleFriend」と名付け、2023年8月に「Google Bug Hunters」の一環としてGoogleに開示したが、この脆弱性はまだ修正されていないという。
-
DeleFriend: Severe design flaw in Domain Wide Delegation could leave Google Workspace vulnerable for takeover
近年、企業や組織はシステムをクラウドへ移行する傾向にある。このため、この作業を支援するクラウドツールやSaaSが開発されており、Google Workspaceのドメイン全体の委任もそうしたツールの1つとなっている。Google Workspaceのドメイン全体の委任により、Google Cloud Platform(GCP) IDとGoogle Workspaceアプリケーション間の包括的な委任が可能となり、他のGoogle Workspaceユーザーに変わってGmail、Google カレンダー、Google ドライブなどのタスクを実行できるようになるという。
今回発見されたDeleFriend攻撃では、新しい委任の作成に必要なGoogle Workspaceの権限がなくても、Google Cloud PlatformとGoogle Workspaceの既存の委任を操作できるという。これはドメイン委任構成がサービスアカウントIDオブジェクトに関連付けられた特定の秘密鍵ではなく、サービスアカウントリソース識別子(OAuth ID)によって決定されることに原因があるとのこと。
また、JWTの組み合わせの意図的な不正に関する制限がAPIには実装されておらず、既存の委任を検索して引き継ぐための多数のオプションを列挙する選択肢が制限されていないことも問題と指摘されている。これら脆弱性は次の要因によってリスクがさらに増幅されるという。
- 長い寿命 - デフォルトではGoogle Cloud Platformサービスアカウントの鍵は有効期限がない。このため、バックドアを確立されると長期間の永続性が確保される
- 隠蔽の容易さ - 既存のIdentity and Access Management(IAM)に対して新しいサービスアカウントの鍵を作成したり、API認可ページで委任ルールを設定したりすることは隠蔽が容易
- 認識 - IT部門とセキュリティ部門は必ずしもドメイン全体の委任機能を認識しているとは限らない。特に悪用の可能性に気づいていない可能性がある
- 検出が困難 - 委任されたAPIの呼び出しはターゲットIDの代理として作成されるため、API呼び出しは対応するGoogle Workspace監査ログに記録される。このため、このような活動を特定することは困難となる
-
DeleFriend攻撃の流れ 引用:Hunters
Huntersは、DeleFriendなどの攻撃によりドメイン全体の委任が悪用された場合の潜在的な影響は深刻だとして、注意を呼びかけている。既存の委任でDomain-Wide Delegation(DWD)が利用されるとGoogle Workspaceドメイン内すべてのIDに影響を与える可能性がある。HuntersはDeleFriend攻撃を受ける可能性のあるDomain-Wide Delegationの構成ミスを検出することを支援するため、この攻撃の概念実証(PoC: Proof of Concept)ツールを「axon-git/DeleFriend」にて公開している。
また、このような攻撃のリスクを軽減するためのベストプラクティスも公開されている。Google Workspaceドメイン全体の委任を利用している企業や組織は、これらベストプラクティスを活用して保護することが望まれている。また、Huntersはこの攻撃の影響を受ける可能性のある関係者と情報共有することを推奨している。
