В решении для управления идентификацией и доступом (IAM) One Identity OneLogin была обнаружена уязвимость высокой степени серьезности, получившая идентификатор CVE-2025-59363. По данным Common Vulnerability Scoring System (CVSS), ей присвоен рейтинг 7.7 из 10.0. Исследователи из компании Clutch Security классифицировали проблему как CWE-669 (Некорректная передача ресурса между сферами).
Суть уязвимости заключалась в избыточной информации, которую возвращал один из API-эндпоинтов системы. Конкретно, конечная точка
Для эксплуатации уязвимости атакующему требовалось предварительное условие: наличие действующих API-учетных данных для доступа к OneLogin, состоящих из идентификатора клиента и секрета клиента. Это означает, что атака могла быть осуществлена только тем, кто уже имел определенный уровень легитимного доступа к системе.
Процесс атаки был многоэтапным. Сначала злоумышленник использовал свои действительные учетные данные для аутентификации в системе OneLogin и получения токена доступа. Затем, с помощью этого токена, он отправлял запрос к уязвимому API-эндпоинту
Получив ответ от API, атакующий мог проанализировать его и извлечь
Основной риск, связанный с этой уязвимостью, — возможность полного олицетворения скомпрометированных приложений. Используя похищенные секреты, злоумышленник мог выдавать себя за легитимные сервисы, проходить аутентификацию от их имени и получать несанкционированный доступ к интегрированным системам и данным, которые эти приложения обрабатывают.
Последствия успешной эксплуатации не ограничивались доступом к одному приложению. Получив контроль над одним сервисом, атакующий мог использовать его как плацдарм для бокового перемещения внутри корпоративной сети. Это создавало угрозу компрометации всего технологического стека организации, интегрированного с OneLogin.
Ситуацию усугубляли два фактора. Во-первых, модель управления доступом на основе ролей (RBAC) в OneLogin предоставляла API-ключам обширные права по умолчанию. Во-вторых, отсутствовала возможность ограничить доступ к API по IP-адресам, что позволяло проводить атаку из любой точки мира.
Компания One Identity устранила уязвимость, изменив поведение API-эндпоинта. После обновления он больше не включает значения
Согласно информации, опубликованной The Hacker News и исследователями Clutch Security, нет никаких свидетельств того, что данная уязвимость когда-либо эксплуатировалась в реальных атаках. Клиентам было рекомендовано обновиться до версии 3.0, выпущенной в прошлом месяце, для устранения риска.
Суть уязвимости заключалась в избыточной информации, которую возвращал один из API-эндпоинтов системы. Конкретно, конечная точка
/api/2/apps при обработке запроса включала в ответ client_secret для всех приложений, настроенных в клиенте OneLogin с использованием протокола OpenID Connect (OIDC). Это позволяло злоумышленнику получить доступ к конфиденциальным данным, которые не должны были раскрываться. Для эксплуатации уязвимости атакующему требовалось предварительное условие: наличие действующих API-учетных данных для доступа к OneLogin, состоящих из идентификатора клиента и секрета клиента. Это означает, что атака могла быть осуществлена только тем, кто уже имел определенный уровень легитимного доступа к системе.
Процесс атаки был многоэтапным. Сначала злоумышленник использовал свои действительные учетные данные для аутентификации в системе OneLogin и получения токена доступа. Затем, с помощью этого токена, он отправлял запрос к уязвимому API-эндпоинту
/api/2/apps. Получив ответ от API, атакующий мог проанализировать его и извлечь
client_secret для всех OIDC-приложений, зарегистрированных в данном клиенте OneLogin. Эти секреты являются критически важными аутентификационными данными, используемыми для безопасного взаимодействия между приложениями и провайдером идентификации. Основной риск, связанный с этой уязвимостью, — возможность полного олицетворения скомпрометированных приложений. Используя похищенные секреты, злоумышленник мог выдавать себя за легитимные сервисы, проходить аутентификацию от их имени и получать несанкционированный доступ к интегрированным системам и данным, которые эти приложения обрабатывают.
Последствия успешной эксплуатации не ограничивались доступом к одному приложению. Получив контроль над одним сервисом, атакующий мог использовать его как плацдарм для бокового перемещения внутри корпоративной сети. Это создавало угрозу компрометации всего технологического стека организации, интегрированного с OneLogin.
Ситуацию усугубляли два фактора. Во-первых, модель управления доступом на основе ролей (RBAC) в OneLogin предоставляла API-ключам обширные права по умолчанию. Во-вторых, отсутствовала возможность ограничить доступ к API по IP-адресам, что позволяло проводить атаку из любой точки мира.
Компания One Identity устранила уязвимость, изменив поведение API-эндпоинта. После обновления он больше не включает значения
client_secret в ответы на запросы. Это исправление было выпущено в версии продукта 3.0. Согласно информации, опубликованной The Hacker News и исследователями Clutch Security, нет никаких свидетельств того, что данная уязвимость когда-либо эксплуатировалась в реальных атаках. Клиентам было рекомендовано обновиться до версии 3.0, выпущенной в прошлом месяце, для устранения риска.