Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Vulnerabilidad Vulnerabilidades de LeakyLooker

Vulnerabilidades de LeakyLooker

Por Mezo en Vulnerabilidad
Traducir a:

Investigadores de ciberseguridad han revelado un conjunto de nueve vulnerabilidades entre inquilinos en Google Looker Studio que podrían haber permitido a los atacantes ejecutar consultas SQL arbitrarias contra las bases de datos de las víctimas y extraer información confidencial de entornos organizativos que se ejecutan en Google Cloud Platform.

El conjunto de fallos de seguridad se conoce como LeakyLooker. Los investigadores informaron de estos problemas mediante divulgación responsable en junio de 2025, y las vulnerabilidades ya se han corregido. Actualmente, no hay indicios de que estas debilidades se hayan explotado en ataques reales.

Los analistas de seguridad advierten que las vulnerabilidades socavan los supuestos arquitectónicos fundamentales de la plataforma e introducen una clase de ataques hasta ahora desconocidos, capaces de manipular o extraer datos en múltiples clientes de la nube.

Las nueve vulnerabilidades detrás de la superficie de ataque de LeakyLooker

La investigación identificó nueve fallos distintos que afectan a diferentes componentes de la plataforma y sus conectores de datos. Estas vulnerabilidades incluyen:

  • Acceso no autorizado entre inquilinos mediante inyección SQL sin clics en conectores de bases de datos.
  • Acceso no autorizado entre inquilinos mediante inyección SQL sin clics utilizando credenciales almacenadas.
  • Inyección SQL entre inquilinos dirigida a BigQuery a través de funciones nativas
  • Exposición de fuentes de datos entre inquilinos mediante hipervínculos
  • Inyección SQL entre inquilinos que afecta a Spanner y BigQuery mediante consultas personalizadas en la fuente de datos de la víctima.
  • Inyección SQL entre inquilinos a través de la API de vinculación de Looker, que afecta a BigQuery y Spanner.
  • Fuga de datos entre inquilinos a través de la representación de imágenes
  • Fuga de datos XS entre inquilinos en fuentes de datos arbitrarias mediante conteo de fotogramas y canales laterales basados en temporización.
  • Ataques de denegación de monedero entre inquilinos mediante el consumo de recursos de BigQuery

En conjunto, estos problemas podrían permitir a los adversarios recuperar, insertar o eliminar datos de los servicios de las víctimas que operan dentro de los entornos de Google Cloud.

Exposición generalizada a través de conectores de datos

Las vulnerabilidades suponían riesgos para las organizaciones que utilizaban una amplia gama de integraciones de datos de Looker Studio. El ecosistema afectado abarca múltiples plataformas de almacenamiento y bases de datos de uso común en entornos empresariales, como Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL y Google Cloud Storage.

Cualquier organización que dependiera de estos conectores en los paneles de Looker Studio podría haberse visto afectada, ya que las vulnerabilidades permitieron a los atacantes atravesar los límites de los inquilinos y acceder a recursos pertenecientes a diferentes proyectos en la nube.

Rutas de explotación: desde informes públicos hasta el control de bases de datos.

Los escenarios de ataque descritos por los investigadores demuestran cómo los atacantes podrían aprovechar los paneles de control de acceso público u obtener acceso a informes privados. Una vez obtenido el acceso, los ciberdelincuentes podrían explotar las vulnerabilidades para tomar el control de las bases de datos conectadas.

Un escenario consistía en escanear informes de Looker Studio de acceso público conectados a fuentes de datos como BigQuery. Mediante la explotación de vulnerabilidades de inyección, los atacantes podían ejecutar consultas SQL arbitrarias en todo el proyecto en la nube del propietario, lo que permitía la extracción de datos a gran escala.

Otra vía de ataque explotaba una vulnerabilidad lógica en el mecanismo de copia de informes. Cuando una víctima compartía un informe, ya fuera públicamente o con usuarios específicos, y este utilizaba una fuente de datos basada en JDBC, como PostgreSQL, los atacantes podían duplicar el informe conservando las credenciales almacenadas del propietario original. Esta vulnerabilidad permitía a usuarios no autorizados realizar acciones como modificar o eliminar tablas de la base de datos.

Los investigadores también demostraron una técnica de alto impacto que permite la exfiltración de datos con un solo clic. En este escenario, una víctima que abrió un informe especialmente diseñado activó una actividad maliciosa en el navegador que se comunicó con un proyecto controlado por el atacante. Mediante el análisis y la reconstrucción de registros, el atacante pudo reconstruir bases de datos completas a partir de los datos capturados.

Modelo de confianza rota: los permisos del espectador se vuelven en contra de la plataforma.

Estas vulnerabilidades socavaron de hecho un principio de diseño fundamental de Looker Studio: la premisa de que los usuarios con acceso de nivel de visor no pueden controlar ni influir en los datos subyacentes.

Aprovechando las vulnerabilidades descubiertas, los atacantes podían eludir esta barrera de seguridad e interactuar directamente con los servicios conectados. Esta capacidad abrió la puerta a la extracción y manipulación no autorizada de datos, así como al acceso entre usuarios, afectando a servicios como BigQuery y Google Sheets.

Aunque las vulnerabilidades ya han sido corregidas, los hallazgos resaltan la importancia de un diseño de seguridad riguroso en las plataformas en la nube multiusuario, donde un solo fallo lógico puede desencadenar una amplia exposición en diferentes entornos.

Tendencias

Mas Visto

Cargando...