Lỗi OneLogin cho phép kẻ tấn công sử dụng khóa API để đánh cắp bí mật OIDC

[Starlink]

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong giải pháp Quản lý danh tính và truy cập (IAM) One Identity OneLogin, nếu khai thác thành công, có thể làm lộ các bí mật nhạy cảm của ứng dụng khách OpenID Connect ( OIDC ) trong một số trường hợp nhất định.

Lỗ hổng bảo mật, được theo dõi với tên gọi CVE-2025-59363, đã được đánh giá điểm CVSS là 7,7/10,0. Nó được mô tả là một trường hợp chuyển giao tài nguyên không chính xác giữa các phạm vi ( CWE-669 ), khiến chương trình vượt qua ranh giới bảo mật và truy cập trái phép vào dữ liệu hoặc chức năng bí mật.

CVE-2025-59363 "cho phép kẻ tấn công có thông tin xác thực API hợp lệ liệt kê và truy xuất bí mật của khách hàng đối với tất cả các ứng dụng OIDC trong đối tượng thuê OneLogin của một tổ chức", Clutch Security cho biết trong báo cáo chia sẻ với The Hacker News.

Bảo mật danh tính cho biết vấn đề bắt nguồn từ thực tế là điểm cuối liệt kê ứng dụng – /api/2/apps – được cấu hình để trả về nhiều dữ liệu hơn dự kiến, bao gồm các giá trị client_secret trong phản hồi API cùng với siêu dữ liệu liên quan đến các ứng dụng trong tài khoản OneLogin.

Các bước để thực hiện cuộc tấn công được liệt kê dưới đây -

    Kẻ tấn công sử dụng thông tin xác thực API OneLogin hợp lệ (ID máy khách và bí mật) để xác thực
    Yêu cầu mã thông báo truy cập
    Gọi điểm cuối /api/2/apps để liệt kê tất cả các ứng dụng
    Phân tích phản hồi để lấy bí mật của khách hàng cho tất cả các ứng dụng OIDC
    Sử dụng bí mật của khách hàng đã trích xuất để mạo danh các ứng dụng và truy cập các dịch vụ tích hợp

Việc khai thác thành công lỗ hổng có thể cho phép kẻ tấn công với thông tin xác thực API OneLogin hợp lệ truy xuất bí mật máy khách cho tất cả các ứng dụng OIDC được cấu hình trong một đối tượng thuê OneLogin. Với quyền truy cập này, kẻ tấn công có thể lợi dụng bí mật bị lộ để mạo danh người dùng và truy cập vào các ứng dụng khác, tạo cơ hội cho việc di chuyển ngang hàng.

Cơ chế kiểm soát truy cập dựa trên vai trò (RBAC) của OneLogin cấp cho khóa API quyền truy cập điểm cuối rộng rãi, nghĩa là thông tin đăng nhập bị xâm phạm có thể được sử dụng để truy cập các điểm cuối nhạy cảm trên toàn bộ nền tảng. Clutch lưu ý rằng vấn đề càng trở nên trầm trọng hơn khi thiếu tính năng cho phép địa chỉ IP, khiến kẻ tấn công có thể khai thác lỗ hổng từ bất kỳ đâu trên thế giới.

Sau khi được công bố một cách có trách nhiệm vào ngày 18 tháng 7 năm 2025, lỗ hổng đã được khắc phục trong OneLogin 2025.3.0, được phát hành vào tháng trước bằng cách vô hiệu hóa các giá trị OIDC client_secret. Không có bằng chứng nào cho thấy lỗ hổng này đã từng bị khai thác trong thực tế.

"Bảo vệ khách hàng là ưu tiên hàng đầu của chúng tôi, và chúng tôi đánh giá cao việc Clutch Security tiết lộ thông tin một cách có trách nhiệm", Stuart Sharp, Phó Chủ tịch Sản phẩm tại One Identity của OneLogin, chia sẻ với The Hacker News. "Lỗ hổng bảo mật được báo cáo đã được khắc phục trong khoảng thời gian hợp lý với bản phát hành OneLogin 2025.3.0. Theo chúng tôi được biết, không có khách hàng nào bị ảnh hưởng bởi lỗ hổng này."

Clutch Security cho biết: "Các nhà cung cấp danh tính đóng vai trò là xương sống của kiến trúc bảo mật doanh nghiệp. Các lỗ hổng trong những hệ thống này có thể gây ra hiệu ứng lan tỏa trên toàn bộ các ngăn xếp công nghệ, khiến việc bảo mật API nghiêm ngặt trở nên vô cùng quan trọng."