Investigador encuentra un error XSS crítico en el Portal de envío de facturas de Google

Un investigador checo encontró una falla de seguridad en el backend de una aplicación de Google. Según sitios, si el bug fuese explotado el pirata informático podría realizar distintos tipos de ataque hacia la compañía.

Robar cookies de empleados de Google para aplicaciones internas y secuestrar cuentas, lanzar intentos de phishing extremadamente convincentes y potencialmente obtener acceso a otras partes de la red interna de Google.

Este vector de ataque fue descubierto por el investigador de seguridad Thomas Orlita en febrero de este año, y fue reparado a mediados de abril, pero solo ahora se hizo público.

Descrita como una vulnerabilidad de scripts entre sitios (XSS), la falla de seguridad afectó al Portal de presentación de facturas de Google, un sitio web público donde Google redirige a los socios comerciales para que envíen las facturas, según los acuerdos contractuales.

El investigador además señaló que un atacante podría haber cargado archivos con formato incorrecto en el Portal de envío de facturas de Google, a través del campo Cargar factura.

Usando un proxy, el atacante podría haber interceptado el archivo cargado inmediatamente después de la operación de envío y validación del formulario, y haber modificado los documentos de PDF a HTML, a la carga útil maliciosa de XSS.

Los datos habrían terminado almacenados en el backend de facturación de Google y se habrían ejecutado automáticamente cuando un empleado intentara verlos.

«Dado que el XSS se ejecutó en un subdominio googleplex.com mientras el empleado está conectado, el atacante debe poder acceder al tablero de este subdominio donde es posible ver y administrar las facturas», dijo el investigador checo.

«Dependiendo de la forma en que se configuren las cookies en googleplex.com, también podría ser posible acceder a otras aplicaciones internas alojadas en este dominio», agregó.

Dado que la mayoría de las aplicaciones internas de Google están alojadas en el dominio googleplex.com, esto abre la puerta a los atacantes a una amplia gama de posibilidades.

Pero, en general, como la mayoría de los errores de seguridad de XSS, este error habría dependido del nivel de habilidad de un actor de amenaza y de su capacidad para pasar a ataques más complejos.

«La gravedad del impacto depende, por supuesto, de lo bien que se pueda explotar para acceder a sus sitios internos», afirmó el investigador. «Por ejemplo, un atacante podría intentar un ataque de phishing contra un determinado empleado».