Çapraz IdP kimliğine bürünme – saldırganların, bir şirketin birincil kimlik sağlayıcısından (IdP) ödün vermeden, hizmet olarak yazılım (SaaS) uygulamalarına yetkisiz erişim sağlamak için tek oturum açma (SSO) sürecini ele geçirmesine olanak tanıyan bir tekniktir. Push Security araştırmacılarına göre saldırganlar arasında popülerlik kazanması bekleniyor.
Kimlikler arası kimliğe bürünme nedir?
Çapraz IdP kimliğine bürünme, saldırganların bir kuruluşun etki alanıyla eşleşen sahte IdP hesapları oluşturmasına olanak tanıyarak SSO yapılandırmalarındaki bir kusurdan yararlanır ve bu hesaplar daha sonra SSO aracılığıyla aşağı akışlı uygulamalara erişmek için kullanılır.
Cross-IdP kimliğe bürünme saldırı yolu (Kaynak: Push Security)
Yakın zamanda gerçekleşen iki vaka, Cross-IdP kimliğine bürünmenin etkisini ortaya çıkardı.
Bir örnekte, 15 yaşındaki bir araştırmacı, yüzlerce meşru şirket alan adına bağlı sahte Apple SSO hesapları oluşturmak için Zendesk’teki bir kusuru kötüye kullandı. Araştırmacı, yeni oluşturulan bu IdP hesabını kullanarak, Slack dahil olmak üzere bağlantılı uygulamalara sızarak birden fazla iş uygulamasındaki potansiyel olarak hassas bilgileri açığa çıkarabilir.
Başka bir örnekte, artık çözülmüş bir Google alan adı doğrulama kusuru, daha önce yeni oluşturulan Google Workspace hesaplarının alan adı doğrulaması gerektirmeden TOA aracılığıyla kimlik doğrulaması yapmasına olanak tanıyordu. Bu, daha sonra genellikle farklı bir TOA sağlayıcısıyla erişilen alt uygulamalara giriş yapmak için kullanılabiliyordu.
“Bu saldırı yöntemi, ana IdP hesaplarını koruyan geleneksel güvenlik önlemlerini atlıyor. Push Security güvenlik araştırmacısı Dan Green, Help Net Security’ye şöyle konuştu: “Saldırganlar etki alanınız için yeni bir hesap oluşturabilirse, birincil IdP hesabınızın ne kadar kilitlenmiş olduğunun bir önemi yoktur.”
“Bunu tekrarlanabilir bir teknik haline getiren iki önemli kısım var: Yeni bir IdP eklemenin ve onu alanınıza/e-postanıza bağlamanın kolay olması (ve aslında aralarından seçim yapabileceğiniz çok sayıda IdP var) ve birçok uygulamanın yeniden kurulum gerektirmemesi -yeni bir oturum açma yöntemi eklendiğinde kimlik doğrulama. Saldırı bu bileşenlerin her ikisi olmadan mümkün olmazdı, ancak ikincisi muhtemelen en etkili olanıdır” diye devam etti.
“Doğada gördüğümüz örneklerde, IdP ve SaaS hizmetlerindeki yapılandırma zayıflıklarından yararlanan bu saldırılar, hiçbir kullanıcı etkileşimi gerektirmedi. Ancak aynı sonuç, MFA faktörlerini kimlik avına çıkarmaya veya kullanıcıları kötü amaçlı web sayfalarına çekmeye gerek kalmadan ikna edici sosyal mühendislik dolandırıcılıkları yoluyla da elde edilebilir.”
Push müşterileri tarafından kullanılan en popüler uygulamalar üzerinde yapılan güvenlik testleri, test edilen 5 uygulamadan 3’ünün, yeni bir SSO oturum açma yöntemi eklerken varsayılan olarak yeniden doğrulama gerektirmediğini ortaya çıkardı; bu, bir saldırganın yeni kayıtlı bir IdP ile oturum açabileceği ve alt uygulamalardaki hesaplar üzerinden.
Azaltma ve güvenlik önerileri
Push Security, kuruluşların IdP’ler arası kimliğe bürünmeye karşı savunma yapmak için proaktif adımlar atmasını önerir:
- E-posta uyarılarını ayarlayın: Çalışanlara gönderilen yeni IdP etkinleştirme e-postaları için otomatik e-posta uyarıları uygulayarak şirket alan adlarına yapılan yetkisiz IdP bağlantılarının görünürlüğünü sağlayın.
- Hesap dönüşümünü kısıtla: Yapılandırılabilir olduğunda, birincil IdP platformlarındaki kişisel hesapların kurumsal hesaplara dönüştürülmesini önleyin.
- Yeniden doğrulama protokollerini zorunlu kılın: Yapılandırılabilir olduğunda, yeni SSO yöntemleri eklenirken aşağı akış uygulamalarının yeniden doğrulamayı zorunlu kılmasını zorunlu kılın. E-posta onayı yerine orijinal yöntemle giriş yapılmasını zorunlu kılmak daha güvenli bir yaklaşımdır.
Kuruluşların SaaS ve IdP yapılandırmalarını izleyip sıkılaştırmaları ve kullanılan yetkisiz SSO yöntemlerini tespit etmeye ve bunlara yanıt vermeye hazırlanmaları tavsiye edilmektedir.
Çapraz IdP kimliğine bürünme, SaaS sağlayıcılarının SSO doğrulamasına yönelik birleşik bir yaklaşımla, yeni bir yöntemin eklenmesiyle yeniden doğrulamanın sağlanmasıyla azaltılabilir, ancak şirketlerin verilerini, hesaplarını ve uygulamalarını korumak için hemen harekete geçmeleri gerekiyor.