Исследователь обнаружил особенность в том, как Google App Engine управляет поддоменами, что может позволить мошенникам незаметно проводить фишинговые кампании по электронной почте. В законных сценариях Google App Engine используется для разработки и размещения веб-приложений. Однако, по мнению исследователя безопасности Марселя Афрахима, облачную платформу также можно использовать для обхода мер безопасности и направления жертв на вредоносные целевые страницы. Проблема заключается в том, как платформа генерирует поддомены и направляет посетителей. Настроив ряд недействительных субдоменов, каждый из которых автоматически перенаправляется на центральное вредоносное приложение, злоумышленники могут легко скрыть свою активность.
Фишинг по электронной почте
Традиционно специалисты по безопасности защищали пользователей от вредоносных приложений, выявляя и блокируя запросы к опасным поддоменам и от них. Однако способ, которым Google App Engine генерирует URL-адреса поддоменов, значительно усложняет этот процесс. Каждый субдомен, созданный с помощью платформы, содержит метку, на которой отображается версия приложения, имя службы, идентификатор проекта и идентификатор региона. Но если какая-либо из этой информации недействительна, то при условии, что идентификатор проекта верен, поддомен автоматически перенаправляется на страницу по умолчанию вместо отображения сообщения об ошибке 404. Эта практика, известная как гибкая маршрутизация, может позволить преступникам создавать большое количество субдомены, каждый из которых ведет на одну вредоносную целевую страницу. Тем временем усилия специалистов по безопасности сдерживаются огромным количеством поддоменов, ведущих на опасную страницу. «Запросы принимаются любой версией, настроенной для трафика на сервисе назначения. Если целевой поток не существует, запрос маршрутизируется гибко», — пояснил Афрахим. «Если запрос соответствует части PROJECT_ID.REGION_ID.r.appspot.com имени хоста, но включает несуществующую службу, версию или имя экземпляра, запрос перенаправляется в службу по умолчанию, которая, по сути, является вашим именем хоста по умолчанию. приложения». По словам исследователя безопасности Юсуке Осуми, уязвимость, обнаруженная Афрахимом, уже активно используется. Исследователь опубликовал в Твиттере список из более чем 2.000 субдоменов, автоматически созданный с помощью генератора доменов Google App Engine, и все они привели к фишинговой целевой странице, замаскированной под портал входа в Microsoft. Google еще не ответил на наш запрос о комментариях о том, что можно сделать для устранения уязвимости. Через звонящий компьютер