Alex는 발견한 취약점 중 하나를 이용해 시스템 권한 상승에 대한 요청을 조작할 수 있어, 특정 취약점에 대한 모든 상세 정보를 얻을 수 있었다. 구글 이슈 트래커가 구글 계정을 가진 모든 사람들에게 개방되어 있다고 해도, 데이터 베이스 이슈에 대한 주요 권한은 구글 직원들만 가지고 있다. 그러나 Alex는 데이터베이스에서 모든 이슈를 볼 수 있는 버그를 발견했다.
그는 또한 다음과 같은 POST 요청을 통해 CC 목록에서 개인을 삭제할 수 있는 자바스크립트 메소드를 발견했다.
해당 요청을 통해 구글 이슈 트래커의 모든 버그에 대한 세부 정보를 확인할 수 있었다. 그는 “나는 여기서 거대한 문제로 이어진 몇가지를 발견했다”고 언급했다.
1) 부적절한 액세스 제어: 현재 사용자가 주어진 행위를 수행하기 위한 시도 이전에 ‘issuelds’에 구체화된 이슈들에 접근할 권한이 있는지에 대한 명시적인 확인이 없다.
2) 자동 실패: 현재 CC 목록에 없는 이메일 주소를 제공한 경우, 엔드포인트는 이메일이 성공적으로 삭제되었다는 메시지를 리턴한다.
3) 응답의 전체 이슈 세부 정보: 작업 중 오류가 발생하지 않은 경우, 시스템의 다른 부분은 사용자가 적절한 권한을 가지고 있다고 가정한다. 따라서 주어진 이슈 ID에 대한 모든 세부 정보가 HTTP 응답 본문(response body)에 리턴된다.
Birsan은 해당 이슈를 확인하기 위해 시스템에 몇가지 연속 추적 번호를 제공했다고 말했다. 그는 “위의 요청에서 issuelds를 단순히 대체하는 것만으로 모든 문제에 대한 세부 정보를 볼 수 있었다. 단일 요청으로 여러 티켓에 대한 데이터를 추출할 수도 있었다”고 말하며 “몇 개의 연속된 ID를 보고, 해당 문제의 심각성을 확인하기 위해 연관되지 않은 계정을 공격했다. 아직 패치되지 않은, 보고된 취약점들에 대한 모든 정보를 볼 수 있었고, 단일 요청으로 여러 티켓에 대한 데이터를 추출할 수 있었다. 그래서 어떠한 속도에도 제한 없이 실시간으로 내부 활동을 모니터링할 수 있었다”고 덧붙였다.
Birsan은 영향받는 엔드포인트 사용 중지를 위해 구글에 해당 문제를 보고했다. 최근 MS는 2013년에 내부 버그 트래킹 시스템에서 사이버 간첩 그룹이 회사의 취약점 데이터베이스를 훔친 유사한 사건을 공개했다. 제로데이 취약점과 구글 제품에 존재하는 다른 이슈들에 대한 지식은 타깃 공격을 위한 익스플로잇에 악용될 수 있으므로 조심해야 한다.
★정보보안 대표 미디어 데일리시큐!★
