Los investigadores de ciberseguridad han revelado nueve vulnerabilidades entre inquilinos en Google Looker Studio. Esta vulnerabilidad podría permitir a un atacante ejecutar consultas SQL arbitrarias en la base de datos de una víctima, exponiendo potencialmente datos confidenciales dentro del entorno de Google Cloud de una organización.
Tenable se refiere colectivamente a estas deficiencias como LeakyLooker. No hay evidencia de que esta vulnerabilidad haya sido explotada en la naturaleza. Después de una divulgación responsable en junio de 2025, Google abordó el problema.
Aquí hay una lista de fallas de seguridad:
«Esta vulnerabilidad viola supuestos de diseño fundamentales y expone una nueva clase de ataques que podrían permitir a un atacante exfiltrar, insertar o eliminar datos en los servicios de una víctima o en el entorno de Google Cloud», dijo la investigadora de seguridad Liv Matan en un informe compartido con Hacker News.
«Estas vulnerabilidades podrían exponer datos confidenciales en los entornos de Google Cloud Platform (GCP), afectando a las organizaciones que utilizan Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage y casi todos los demás conectores de datos de Looker Studio».
La explotación exitosa de fallas entre inquilinos podría permitir que los actores de amenazas accedan a conjuntos de datos y proyectos en diferentes inquilinos de la nube.
Un atacante podría escanear los informes públicos de Looker Studio u obtener acceso a informes privados que utilicen estos conectores (como BigQuery) para obtener control de la base de datos y permitirle ejecutar consultas SQL arbitrarias en los proyectos de GCP del propietario.
Alternativamente, la víctima crea el informe como público o lo comparte con destinatarios específicos y utiliza una fuente de datos conectada a JDBC, como PostgreSQL. En este escenario, un atacante podría aprovechar una falla lógica en la funcionalidad de copia de informes para crear un informe duplicado y al mismo tiempo conservar las credenciales del propietario original, lo que le permitiría eliminar o modificar la tabla.
Otro vector de alto impacto detallado por la firma de ciberseguridad implica la exfiltración de datos con un solo clic, donde compartir un informe especialmente diseñado ejecuta código malicioso en el navegador de la víctima, accede a proyectos controlados por el atacante y reconstruye bases de datos completas a partir de registros.
«Esta vulnerabilidad rompe la promesa fundamental de que los ‘espectadores’ nunca podrán controlar los datos que están viendo», dijo Matan, y agregó que «un atacante podría potencialmente filtrar o modificar datos en los servicios de Google, incluidos BigQuery y Google Sheets».
Source link
