Des chercheurs en cybersécurité viennent de découvrir deux failles de sécurité graves dans Looker (la plateforme d'analyse de données d'entreprise appartenant à Google) qui risquent de faire voler des données à des dizaines de milliers d'entreprises dans le monde et de prendre le contrôle du système.
Selon un rapport de la société de cybersécurité Tenable (États-Unis), ces failles pourraient permettre aux pirates de pénétrer profondément dans le système Looker, de voler des informations de connexion sensibles, de configurer secrètement et même de contrôler l'ensemble du serveur.
Looker est actuellement utilisé par plus de 60 000 entreprises dans 195 pays, ce qui rend la fourchette de risque particulièrement préoccupante.
L'une des deux failles principales, collectivement appelée "LookOut", concerne la chaîne d'exécution de code à distance (Remote Code Execution - RCE).
Grâce à cette technique, l'agresseur peut exécuter des commandes malveillantes à distance, obtenant ainsi le contrôle total du serveur Looker.
Les chercheurs affirment que les pirates ciblent la version Looker déployée sur une plateforme cloud qui peut profiter de la faille pour accéder en diagonale entre différents systèmes, tout en téléchargeant l'ensemble de la base de données de gestion interne.
Tenable avertit que la perte de contrôle de Looker pourrait entraîner un risque de fuite de données d'entreprise à grande échelle.
Selon Liv Matan, ingénieure en recherche senior chez Tenable, le niveau de danger de cette faille est particulièrement élevé car Looker joue le rôle de « système nerveux central » des données d'entreprise.
Une intrusion peut permettre à un attaquant de manipuler des données ou de pénétrer plus profondément dans le réseau interne privé de l'entreprise", a averti Mme Liv Matan.
Tenable a déclaré que Google avait répondu rapidement et mis en œuvre un correctif pour la version gérée de Looker Cloud après avoir reçu un rapport sur la faille.
Cependant, les organisations qui stockent elles-mêmes Looker sur des serveurs privés ou des infrastructures locales risquent toujours d'être attaquées si elles ne mettent pas à jour proactivement les correctifs.
Ces organisations doivent assumer la responsabilité de combler les failles et de protéger l'infrastructure contre le risque de prise de contrôle", a souligné Tenable.
Looker est une plateforme d'analyse de données d'entreprise basée à Santa Cruz, en Californie, qui permet aux entreprises de visualiser, de consulter et d'analyser les données stockées dans le cloud. En 2019, Google a racheté Looker pour 2,6 milliards de dollars, afin d'élargir son écosystème de services de données et de cloud computing.
Cette transaction est considérée comme faisant partie de la stratégie de Google visant à renforcer sa capacité à fournir des solutions de données, un stockage cloud et un logiciel d'entreprise.
Face au risque d'exploitation des failles, Tenable recommande aux administrateurs système d'examiner rapidement le système. Plus précisément, les entreprises doivent vérifier le dossier . git/hooks/ dans les projets Looker pour détecter les fichiers étranges ou illégaux, en particulier les scripts tels que pre-push, post-commit ou applypatch-msg, qui sont des points qui pourraient avoir été infectés par un logiciel malveillant.
En outre, les équipes de sécurité doivent analyser les journaux d'applications, rechercher des signes d'abus de connexion interne, des erreurs SQL anormales ou des exemples d'attaques d'injection SQL ciblant des bases de données internes telles que looker__iloker.
Les experts mettent en garde contre le fait que l'incident est un rappel fort des risques de sécurité des données à l'ère du cloud, lorsqu'une seule faille peut placer des milliers d'entreprises face à un risque de violation grave.
