Graves vulnerabilidades en Google Looker permiten ejecución remota y fuga de datos entre inquilinos

Vulnerabilidades Críticas en Google Looker Exponen a Usuarios a RCE y Exfiltración de Datos

Introducción a las fallas en Google Looker

Recientemente, se identificaron una serie de vulnerabilidades críticas en Google Looker, una plataforma de análisis de datos ampliamente utilizada en entornos empresariales. Estas fallas afectan la seguridad multiinquilino (“multi-tenant”), permitiendo ataques de ejecución remota de código (RCE) y exfiltración de datos entre arrendatarios. La gravedad de estas vulnerabilidades reside en que comprometen la integridad y confidencialidad de datos sensibles alojados en la misma infraestructura, lo que puede derivar en impactos significativos para la seguridad de la información.

Contexto y alcance del problema

Google Looker funciona como un servicio en la nube que proporciona análisis y visualización de datos, integrándose con múltiples bases de datos y sistemas empresariales. La arquitectura multiinquilino es una de sus características clave para optimizar recursos y permitir a diversas organizaciones compartir la plataforma. Sin embargo, esta misma característica se convierte en un vector de riesgo crítico cuando las barreras entre arrendatarios se ven violadas.

Investigadores en seguridad detectaron vulnerabilidades que permitían a un atacante autenticado en una instancia de Looker interactuar con recursos de otro arrendatario, saltándose controles esenciales de aislamiento. Este tipo de fallo transgrede principios básicos de seguridad como el aislamiento de datos y la separación de privilegios, poniendo en riesgo a usuarios y datos de múltiples clientes.

Detalles técnicos de las vulnerabilidades

Las vulnerabilidades incluyen deficiencias en la validación y manejo de permisos, así como errores en la lógica interna de la plataforma. Específicamente, los problemas identificados permiten:

Ejecución remota de código (RCE) en el entorno de Looker, otorgando control total al atacante sobre procesos y datos.
Acceso y extracción no autorizada de información confidencial almacenada bajo otros arrendatarios.
Cruce de colindancias entre instancias, facilitando movimientos laterales y persistencia por parte de atacantes.

Estos defectos fueron aprovechados mediante la manipulación de solicitudes y explotación de fallos en la autorización de los objetos y acciones dentro de la plataforma, demostrando un nivel de sofisticación que pone en evidencia fallas en el diseño de seguridad multiinquilino.

Impacto y riesgos derivados

El riesgo inherente a estas vulnerabilidades se traduce en múltiples amenazas potenciales: desde la pérdida directa de datos hasta la interrupción de servicios críticos o la escalada de privilegios para comprometer sistemas conectados. Las organizaciones que usan Looker vieron comprometida la seguridad de sus datos analíticos y reportes, lo que puede acarrear consecuencias legales y de reputación ante brechas de privacidad y cumplimiento.

Medidas adoptadas por Google y recomendaciones

Tras el reporte responsable de estas fallas, Google implementó parches de seguridad para mitigar las vulnerabilidades y reforzar los controles de aislamiento entre arrendatarios. Se recomienda encarecidamente a los administradores de Looker aplicar estos parches de forma inmediata.

Asimismo, expertos en ciberseguridad aconsejan:

Revisar y limitar privilegios de usuarios dentro de la plataforma.
Implementar monitoreo constante de actividades anómalas y accesos transarrendatarios.
Evaluar regularmente la configuración de seguridad y aplicar principios de mínimo privilegio.
Estar atentos a futuras actualizaciones y comunicados de seguridad de Google.

Conclusión

Las vulnerabilidades descubiertas en Google Looker subrayan la necesidad de un diseño riguroso y controles estrictos en entornos multiinquilino para evitar riesgos catastróficos en la gestión y protección de datos corporativos. La rápida reacción de Google y la aplicación de remediaciones son pasos positivos, pero este incidente debe servir como recordatorio para reforzar prácticas seguras en plataformas cloud.

Referencia

Para un análisis detallado y la fuente original, puede consultarse el artículo de Dark Reading:
https://www.darkreading.com/application-security/google-looker-bugs-cross-tenant-rce-data-exfil

← Filtración masiva sacude al gobierno mexicano: ¿gran brecha o simples rumores?

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil