Remy olarak tanımlanan bir güvenlik araştırmacısı, bir Yeswehack böcek katılımı sırasında keşfedilen kritik bir güvenlik açığını açıkladı.
Araştırmacı, hassas kullanıcı verilerine sınırsız erişim sağlayan açık OAuth kimlik bilgilerini ortaya çıkardı ve görünüşte küçük bir yanlış yapılandırmanın ciddi güvenlik ihlallerine nasıl yol açabileceğini gösterdi.
Bu olay, kuruluşların OAuth kimlik doğrulama sistemlerini düzgün bir şekilde uygulama konusunda karşılaşılan zorlukları vurgulamaktadır.
.png
)
Yetkilendirme için endüstri standartları protokolü olan OAuth 2.0, kimlik bilgilerini açığa çıkarmadan kullanıcı kaynaklarına güvenli üçüncü taraf erişimini sağlamak için web uygulamaları arasında yaygın olarak uygulanmaktadır.
Bununla birlikte, yanlış yapılandırıldığında, bu sistemler yanlışlıkla erişim belirteçlerini veya istemci kimlik bilgilerini ortaya çıkarabilir ve bu da önemli güvenlik açıkları oluşturabilir.
Bu durumda, yanlış yapılandırma araştırmacının amaçlanan erişim kontrollerini tamamen atlamasına izin verdi.
RMSEC analistleri, bulguları gözden geçirdikten sonra, bu tür bir güvenlik açığının API güvenliğinde ortak ama tehlikeli bir gözetimi temsil ettiğini kaydetti.
Değerlendirmeleri, konunun ciddiyetini doğruladı ve etik hata ödül programından ziyade kötü amaçlı aktörler tarafından keşfedilirse binlerce kullanıcıyı etkileyebilecek kritik bir güvenlik açığı olarak sınıflandırdı.
Maruz kalan kimlik bilgileri, araştırmacıya kullanıcı profillerine, kişisel bilgilere ve uygulamanın veritabanında saklanan potansiyel olarak finansal verilere erişim sağlayarak yüksek ayrıcalıklar sağladı.
Sorumlu ifşa uygulamalarına uygun olarak isimsiz kalan hedef şirket, bildirimden sonraki 24 saat içinde güvenlik açığını yamaladı.
OAuth Müşteri Kimlik Bilgisi Sömürü
Sömürü süreci, araştırmacı uygulamanın ön uç kodu içinde müşteri kimlik bilgilerini keşfettiğinde başladı.
Normal uygulama kullanımı sırasında ağ trafiğini incelerken Remy, asla herkese açık olarak erişilememesi gereken Client_ID ve Client_Secret parametrelerini ortaya çıkaran OAuth Token isteklerini belirledi.
Araştırmacı, doğrudan erişim belirteçleri elde etmek için basit bir komut dosyası kullanarak güvenlik açığını gösterdi:-
import requests
url = "https://api.target-company.com/oauth/token"
payload = {
"grant_type": "client_credentials",
"client_id": "discovered_client_id",
"client_secret": "discovered_client_secret",
"scope": "read write delete"
}
response = requests. Post(url, data=payload)
token = response.json()["access_token"]Elde edilen jeton ile araştırmacı, yalnızca idari kullanıcılarla sınırlandırılması gereken uç noktalara erişerek, yüksek ayrıcalıklarla doğrulanmış API çağrıları yapabilir.
Jetonun kapsamı (“Oku yazma silme”) tüm API ekosistemine neredeyse sınırsız erişim sağladı.
Bu güvenlik açığını özellikle şiddetli kılan, müşteri kimlik bilgilerinin, müşteri uygulamasının ihtiyaç duyduğu belirli kaynaklarla sınırlı olmak yerine idari ayrıcalıklara sahip bir hizmet hesabı için yapılandırılmasıydı.
Bu, güvenlik tasarımında en az ayrıcalık ilkesinin temel bir ihlalini temsil eder.
Rapor, geliştiricilerin istemci sırlarının güvenli depolanması, uygun kapsam sınırlamaları ve kimlik doğrulama sistemlerinin düzenli güvenlik denetimleri dahil olmak üzere uygun OAuth yapılandırma uygulamalarını uygulamalarını hatırlatıyor.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy