Looker: Kritische Sicherheitslücken gefährden Unternehmensdaten

Cybersicherheitsforscher haben zwei schwerwiegende Schwachstellen in Googles Business-Intelligence-Plattform Looker entdeckt. Die Fehler ermöglichen Angreifern die vollständige Kontrolle über Server und den Zugriff auf sensible Unternehmensdaten. Während Google seine Cloud-Kunden bereits geschützt hat, müssen tausende Unternehmen mit eigenen Installationen sofort handeln.

Die von Tenable aufgedeckten Lücken betreffen eine Plattform, die weltweit von über 60.000 Organisationen genutzt wird. Looker fungiert oft als zentrales Nervensystem für Unternehmensinformationen und hat tiefen Zugriff auf geschäftskritische Datenbanken. Ein erfolgreicher Angriff hätte daher weitreichende Folgen.

Die Forscher identifizierten zwei primäre Angriffswege. Die schwerwiegendste Lücke ist eine Remote-Code-Execution (RCE). Sie erlaubt es Angreifern, beliebige Befehle auf einem Looker-Server aus der Ferne auszuführen und so die vollständige administrative Kontrolle zu übernehmen. Das wäre der sprichwörtliche Generalschlüssel zum Unternehmen.

Viele Unternehmen unterschätzen, wie schnell sich eine Fehlkonfiguration oder eine ungepatchte BI-Plattform zur kompletten Unternehmenskompromittierung entwickeln kann. Ein praxisorientierter, kostenloser Cyber-Security-Report erklärt typische Angriffsvektoren (inkl. RCE- und SQL-Injection-Beispiele), konkrete Sofortmaßnahmen für Administratoren und eine Prioritätenliste für Security-Updates. Perfekt für IT‑Leiter und Security-Teams, die ihre Verteidigung ohne großen Aufwand stärken wollen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Die zweite kritische Schwachstelle ermöglicht die vollständige Extraktion der internen Verwaltungsdatenbank. Über eine ausgeklügelte SQL-Injection-Technik konnten die Forscher das System dazu bringen, seine eigene interne Datenbank – das „private Gehirn“ von Looker – auszulesen. Diese enthält wertvolle Informationen wie Benutzeranmeldedaten und Konfigurationsgeheimnisse.

So funktionieren die „LookOut“-Angriffe

Die RCE-Lücke nutzte eine eigentlich komfortable Funktion für Entwickler aus: die Art, wie Looker mit Git-Repositories für seine Projekte umgeht. Die Forscher manipulierten das System, um bösartige Skripte in das Dateisystem zu schreiben. Diese sogenannten Git-Hooks werden bei bestimmten Ereignissen automatisch ausgeführt und ermöglichten letztlich die Übernahme des Servers.

Der Angriff auf die interne Datenbank nutzte eine Autorisierungslücke. Sie erlaubte den Zugriff auf die interne MySQL-Datenbank von Looker, die Metadaten über Benutzer und Projekte speichert. Spezifische interne Datenbankverbindungen wurden so zu Zielen für die SQL-Injection.

Dringender Handlungsbedarf für Selbst-Hoster

Google hat die Schwachstellen für alle vollständig verwalteten Cloud-Kunden bereits behoben. Für Nutzer von Looker (Google Cloud Core) und Looker (Original) ist keine Aktion erforderlich. Das Unternehmen gab an, keine Hinweise auf aktive Angriffe in freier Wildbahn gefunden zu haben.

Die größte Gefahr besteht jedoch für die Tausenden Organisationen, die Looker selbst hosten – ob vor Ort oder in einer privaten Cloud. Diese Unternehmen müssen die Sicherheitsupdates manuell einspielen. Wer das versäumt, lässt seine Systeme offen für eine komplette Übernahme.

Administratoren müssen dringend auf eine der gepatchten Versionen aktualisieren: 25.12.30+, 25.10.54+, 25.6.79+, 25.0.89+ oder 24.18.209+. Releases ab Version 25.14 sind von diesen spezifischen Lücken nicht betroffen.

BI-Plattformen im Fokus von Cyberkriminellen

Die „LookOut“-Schwachstellen unterstreichen ein wachsendes Risiko für Business-Intelligence-Plattformen. Da diese Systeme eine zentrale Rolle im Daten-Ökosystem eines Unternehmens spielen, werden sie zu immer attraktiveren Zielen. Ein erfolgreicher Einbruch bietet nicht nur direkten Zugriff auf sensible Daten, sondern auch auf Anmeldeinformationen für weitere Systeme.

Experten weisen darauf hin, dass die Komplexität solcher Plattformen eine ständige Herausforderung für die Sicherheit darstellt. Funktionen, die für Flexibilität und Entwicklerfreundlichkeit gedacht sind, können unbeabsichtigt Angriffsvektoren schaffen. Dieser Vorfall zeigt erneut die Notwendigkeit robuster Sicherheitsarchitekturen und schneller Patch-Prozesse.

Was Unternehmen jetzt tun müssen

Für Selbst-Hoster ist die sofortige Aktualisierung oberste Priorität. Darüber hinaus sollten Sicherheitsteams ihre Systeme proaktiv überwachen. Administratoren wird geraten, nach spezifischen Kompromittierungsindikatoren zu suchen.

Dazu gehört die Untersuchung der .git/hooks/-Verzeichnisse in Looker-Projektordnern auf unerwartete Dateien. Auch Anwendungsprotokolle sollten auf ungewöhnliche SQL-Fehler überprüft werden, die auf Injection-Versuche hindeuten könnten.

Dieser Vorfall macht deutlich: Der Betrieb komplexer Datenplattformen in eigener Verantwortung birgt erhebliche Risiken und erfordert kontinuierliche Wachsamkeit. Angreifer werden weiterhin Schwachstellen in zentralen Unternehmensanwendungen suchen – die Verteidigung muss Schritt halten.

PS: Wollen Sie Ihre IT‑Sicherheitsstrategie schnell und ohne hohe Investitionen verbessern? Der kostenlose Leitfaden liefert konkrete Checklisten für Administratoren, Awareness-Maßnahmen für Mitarbeitende und einen 4-Punkte‑Plan zur Minimierung von RCE- und Injection-Risiken – ideal für Mittelstand und IT‑Teams, die sofort handeln müssen. Gratis Cyber-Security-Leitfaden sichern

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.