كشفت شركة Tenable عن ثغرتين أمنيتين في منصة ذكاء الأعمال Google Looker، تحملان اسم LookOut، يؤدي دمجهما في سيناريو هجوم واحد إلى تنفيذ سلسلة من العمليات التي تؤدي إلى تشغيل أوامر عن بعد (RCE). ويمنح هذا الاختراق المهاجمين قدرة على السيطرة الكاملة على خوادم Looker، أو سحب قاعدة بيانات الإدارة الداخلية التي تحتوي على بيانات اعتماد وأسرار الضبط والإعدادات الحساسة.
وتزداد المخاطر لدى الجهات التي تعتمد على تشغيل Looker عبر خوادمها الخاصة أو داخل بيئاتها الداخلية. وفي المقابل، سارعت شركة Google باتخاذ إجراءات تقنية لمعالجة هذه المخاطر في الخدمة المدارة التابعة لها.
مساران للهجوم واستخراج أسرار الإدارة
أظهرت نتائج التحقيقات التي أجرتها Tenable مسارين للتهديد:
- سلسلة تنفيذ الأوامر عن بعد (RCE): مسار يتيح للمهاجم تشغيل أوامر برمجية على خادم Looker، ويفتح المجال لسرقة البيانات الحساسة، والتلاعب بها، والتحرك داخل الشبكة الداخلية للمؤسسة. كما أشارت التقارير إلى احتمال امتداد الأثر في بيئات السحابة ليشمل الوصول عبر المستأجرين في حالات محددة.
- استخراج قاعدة البيانات الداخلية: ثغرة تسمح باستخراج بيانات قاعدة الإدارة عبر إساءة توجيه النظام للاتصال بالمنصة، ثم استخدام أسلوب استخراج البيانات القائم على الأخطاء (error-based) للوصول إلى بيانات المستخدمين.
تفاصيل الثغرة
يصف السجل الخاص بالثغرة CVE-2025-12743 خللاً في نقطة النهاية (endpoint) المستخدمة لتوليد مشاريع جديدة من اتصالات قواعد البيانات. ويسمح النظام باستخدام اسم الاتصال looker، وهو اسم محجوز لقاعدة MySQL الداخلية، مع قابلية لحقن SQL عبر معامل schemas. ويمكن هذا الخلل المستخدمين الذين يمتلكون صلاحيات مطور من استخراج البيانات الحساسة من القاعدة الداخلية.
استجابة Google وتحديثات الاستضافة الذاتية
أفادت نشرة الأمان الصادرة عن Google Cloud تحت المعرف GCP-2025-052، بأن إصلاح هذه الثغرات تم داخل Looker بعد تلقي بلاغ عبر برنامج مكافآت الثغرات (VRP). وأكدت الشركة عدم الحاجة لاتخاذ أي إجراء من قبل عملاء Looker المستضاف لدى Google بنسختي Looker Google Cloud core وLooker original، حيث إن الخدمة المدارة محصنة.
وفي المقابل، وجهت Google نداء عاجلاً للجهات التي تستخدم الاستضافة الذاتية بضرورة الترقية إلى إصدارات محددة، منبهة إلى أن الإصدارات 25.14 وما بعدها غير متأثرة بالثغرة. وشملت قائمة الإصدارات الموصى بها ما يلي:
- 25.12.30+
- 25.10.54+
- 25.6.79+
- 25.0.89+
- 24.18.209+
مخاطر تشغيلية ومؤشرات للاختراق
تنبع حساسية هذه الثغرات من الدور الحيوي الذي تؤديه منصة Looker، كونها تتعامل مع مصادر بيانات الأعمال الأكثر سرية واتصالات قواعد البيانات. إذ تؤدي السيطرة على خادم المنصة إلى انتقال الاختراق من طبقة التحليلات إلى البنية التحتية والبيانات الأساسية للمؤسسة.
ولمساعدة مسؤولي الأنظمة في اكتشاف محاولات الاستغلال، تم تحديد مؤشرات رصد تشمل:
- تفقد مجلدات .git/hooks/ داخل مشاريع Looker، والبحث عن سكربتات غير متوقعة مثل pre-push وpost-commit.
- مراجعة سجلات التطبيق بحثاً عن أنماط حقن SQL تعتمد على الأخطاء (error-based)، مع التركيز على الاتصالات الداخلية مثل looker__ilooker.
