Los investigadores de ciberseguridad han descubierto nueve vulnerabilidades entre usuarios en Google Looker Studio que podrían haber permitido a los atacantes ejecutar consultas SQL arbitrarias en las bases de datos de las víctimas y filtrar datos confidenciales en los entornos de Google Cloud de las organizaciones.
Las deficiencias se han denominado colectivamente Peregoteador de Tenable. No hay evidencia de que las vulnerabilidades hayan sido explotadas en estado salvaje. Tras una divulgación responsable en junio de 2025, Google ha abordado los problemas.
adsenseLa lista de fallos de seguridad es la siguiente -
- Acceso no autorizado entre inquilinos: inyección de SQL sin hacer clic en conectores de bases de datos
- Acceso no autorizado entre inquilinos: inyección de SQL sin hacer clic a través de credenciales almacenadas
- Inyección de SQL entre inquilinos en BigQuery a través de funciones nativas
- Las fuentes de datos entre inquilinos se filtran con hipervínculos
- Inyección de SQL entre inquilinos en Spanner y BigQuery mediante consultas personalizadas en la fuente de datos de la víctima
- Inyección de SQL entre inquilinos en BigQuery y Spanner a través de la API de enlace
- Las fuentes de datos entre inquilinos se filtran con la representación de imágenes
- Cross-Tenant XS filtra fuentes de datos arbitrarias con oráculos de recuento de fotogramas y temporización
- Denegación de monedero entre inquilinos a través de BigQuery
«Las vulnerabilidades rompieron las suposiciones fundamentales de diseño, revelaron una nueva clase de ataque y podrían haber permitido a los atacantes extraer, insertar y eliminar datos de los servicios de las víctimas y del entorno de Google Cloud», dijo la investigadora de seguridad Liv Matan dijo en un informe compartido con The Hacker News.
«Estas vulnerabilidades expusieron datos confidenciales en todos los entornos de Google Cloud Platform (GCP), lo que podría afectar a cualquier organización que utilizara Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage y casi cualquier otro conector de datos de Looker Studio».
La explotación exitosa de las fallas entre inquilinos podría permitir a los actores de amenazas obtener acceso a conjuntos de datos y proyectos completos en diferentes inquilinos de la nube.
Los atacantes podrían buscar informes públicos de Looker Studio u obtener acceso a informes privados que usen estos conectores (por ejemplo, BigQuery) y hacerse con el control de las bases de datos, lo que les permitiría ejecutar consultas SQL arbitrarias en todo el proyecto de GCP del propietario.
enlacesComo alternativa, la víctima crea un informe como público o lo comparte con un destinatario específico y utiliza una fuente de datos conectada a JDBC, como PostgreSQL. En este caso, el atacante puede aprovechar una falla lógica en la función de copia de informes, que permite clonar los informes conservando las credenciales del propietario original, lo que le permite eliminar o modificar las tablas.
Otra vía de alto impacto detallada por la empresa de ciberseguridad fue la exfiltración de datos con un solo clic, en la que compartir un informe especialmente diseñado obliga al navegador de la víctima a ejecutar código malicioso que contacta con un proyecto controlado por un atacante para reconstruir bases de datos completas a partir de registros.
«Las vulnerabilidades rompieron la promesa fundamental de que un 'espectador' nunca debería poder controlar los datos que está viendo», dijo Matan, y añadió que «podrían haber permitido a los atacantes filtrar o modificar los datos en los servicios de Google, como BigQuery y Google Sheets».
Fuentes de Información: THEHACKERNEWS