در زیرساختهای ابری، امنیت سرویسها به مکانیزمهای احراز هویت وابسته است و هرگونه اختلال در مدیریت اعتبارنامهها میتواند پیامدهای امنیتی قابلتوجهی ایجاد کند. تحقیقات جدید شرکت امنیت سایبری Aikido Security نشان میدهد پس از حذف یک کلید API گوگل، این کلید همچنان برای مدتی در زیرساخت Google Cloud معتبر باقی میماند. محققان هشدار میدهند مهاجمانی که به یک کلید API گوگل افشاشده دسترسی داشته باشند، میتوانند تا پیش از تکمیل فرآیند ابطال، همچنان از APIهای فعال پروژه سوءاستفاده کنند.
تأخیر فنی در ابطال کلید API گوگل
بر اساس یافتههای این تحقیق، کلید API گوگل که برای احراز هویت میان سرویسها و اپلیکیشنها استفاده میشود، پس از حذف در کنسول Google Cloud Platform (GCP) بلافاصله غیرفعال نمیشود. آزمایشهای انجامشده در 10 سناریوی کنترلشده نشان میدهد فرآیند ابطال کامل این کلیدها بهطور میانگین حدود 16 دقیقه زمان میبرد و در برخی موارد این تأخیر به نزدیک 23 دقیقه رسیده است.
اگرچه کنسول GCP بلافاصله وضعیت کلید را به صورت حذف شده نمایش میدهد، اما بررسیهای فنی نشان میدهد فرآیند ابطال در لایه زیرساختی با تأخیر انجام میشود و کلید تا چند دقیقه همچنان قابلیت احراز هویت دارد.
در این بازه زمانی، مهاجمان همچنان میتوانند درخواستهای احراز هویت معتبر به APIهای فعال پروژه ارسال کنند. محققان اعلام کردهاند این دسترسی میتواند منجر به استخراج تعاملات کششده کاربران Gemini، دامپ فایلهای بارگذاریشده و همچنین دسترسی غیرمجاز به دادههای BigQuery و APIهای Google Maps شود.
علت تداوم اعتبار کلید API گوگل پس از حذف
طبق توضیحات منتشرشده توسط محققان، علت اصلی این تأخیر به مدل سازگاری نهایی (Eventual Consistency) در زیرساخت توزیعشده گوگل مربوط میشود. در این معماری، تغییرات امنیتی بهصورت همزمان روی تمامی سرورهای جهانی اعمال نشده و انتشار آنها بهتدریج انجام میشود.
در نتیجه، زمانی که یک کلید API گوگل حذف میشود، ممکن است برخی سرورها هنوز اطلاعات جدید را دریافت نکرده باشند و همچنان آن را معتبر تشخیص دهند. این فاصله زمانی کوتاه به مهاجمان اجازه میدهد با ارسال مداوم درخواستهای احراز هویت، درخواستهای خود را میان سرورهای مختلف گوگل هدایت کرده و تا پیش از تکمیل همگامسازی، به سرویسهایی مانند BigQuery، Gemini یا سایر APIهای فعال پروژه دسترسی داشته باشند.
همچنین محققان اشاره کردهاند نمونه مشابهی از این ضعف سال گذشته در AWS مشاهده شده بود، اما پنجره ابطال کلیدها در زیرساخت آمازون تنها حدود 4 ثانیه طول میکشید.
تفاوت عملکرد نواحی جغرافیایی زیرساخت Google Cloud
نتایج آزمایشها نشان میدهد عملکرد زیرساخت احراز هویت گوگل در نواحی جغرافیایی مختلف یکسان نیست. محققان با بررسی چندین ناحیه زیرساختی GCP دریافتند که میزان موفقیت درخواستهای احراز هویت پس از حذف کلید، بسته به موقعیت دیتاسنترها تفاوت قابلتوجهی دارد.
بر اساس این بررسی، در نخستین دقیقه پس از حذف کلید، ماشینهای مجازی مستقر در ناحیه asia-southeast1 تنها حدود 22 درصد درخواستهای احراز هویت را با موفقیت پردازش کردند اما در نواحی us-east1 و europe-west1 نزدیک به 49 درصد درخواستها همچنان معتبر شناخته شدند.
به گفته محققان، این اختلاف نشان میدهد فرآیند انتشار تغییرات امنیتی و همگامسازی اطلاعات در تمامی زیرساختهای جهانی گوگل بهصورت همزمان انجام نمیشود و برخی دیتاسنترها با تأخیر بیشتری بهروزرسانی میشوند. این تأخیر میتواند پنجره زمانی سوءاستفاده مهاجمان را افزایش دهد.
چالشهای تیمهای پاسخ به رخداد در GCP
تأخیر در ابطال کلید API گوگل میتواند فرآیند تحلیل، ردیابی و بازسازی زنجیره حملات را برای تیمهای پاسخ به رخداد با پیچیدگی بیشتری همراه کند. بر اساس یافتههای محققان، کنسول GCP پس از حذف کلید، تمامی تلاشهای احراز هویت بعدی را تحت برچسب عمومی apikey:UNKNOWN ثبت میکند. در نتیجه، تیمهای امنیتی بهسختی میتوانند تشخیص دهند مهاجم از کدام اعتبارنامه یا کلید API برای دسترسی غیرمجاز استفاده کرده است.
گوگل اعلام کرده است که تأخیر در انتشار تغییرات امنیتی، بخشی ذاتی از معماری فعلی سیستم محسوب میشود و بهعنوان یک آسیبپذیری امنیتی طبقهبندی نخواهد شد. با این حال، محققان تأکید میکنند گوگل پیشتر برای برخی انواع اعتبارنامهها مکانیزم ابطال سریعتری پیادهسازی کرده است. برای مثال، کلیدهای Service Account تقریباً ظرف 5 ثانیه ابطال میشوند و کلیدهای جدید Gemini با پیشوند AQ. نیز حدود یک دقیقه برای غیرفعالسازی زمان نیاز دارند.
در نهایت، محققان توصیه میکنند سازمانها فرآیند حذف هر کلید API گوگل را یک عملیات 30 دقیقهای در نظر گرفته و در این بازه زمانی، تمامی احراز هویتها و فعالیتهای ثبتشده در کنسول GCP را بهصورت مستمر مانیتور کنند.
