Kapsamlı bir güvenlik soruşturması, OneLogin’in Active Directory (AD) konektör hizmetinde, kimlik doğrulama kimlik bilgilerini ortaya çıkaran ve saldırganların kurumsal ortamlardaki meşru kullanıcıları taklit etmelerini sağlayan kritik güvenlik açıklarını ortaya koymuştur.
OneLogin’in yaygın olarak kullanılan kimlik ve erişim yönetimi platformunu etkileyen güvenlik açıkları, tehdit aktörlerinin geçerli JSON Web belirteçleri (JWT) üretmek ve müşteri sistemlerine yetkisiz erişim elde etmek için maruz kalan kimlik bilgilerini nasıl kullanabileceğini gösterdi.
Güvenlik kusurları, potansiyel müşterilere platformun özelliklerini ve işlevselliğini gözden geçirmeye erişim sağlayan OneLogin’in deneme kiracı sistemi üzerinde yapılan araştırmalarla ortaya çıktı.
.png
)
Rutin güvenlik analizi olarak başlayan şey, araştırmacılar OneLogin’in AD konektör hizmetinin API uç noktaları aracılığıyla yanlışlıkla hassas kimlik doğrulama malzemelerini açığa çıkardığını keşfettiklerinde hızla arttı.
Windows Domain denetleyicilerinde connectorservice.exe olarak dağıtılan konektör hizmetinin, yapılandırma API çağrıları yoluyla şifrelenmemiş kimlik bilgilerini ilettiği ve kötü amaçlı aktörler için önemli bir saldırı yüzeyi oluşturduğu bulunmuştur.
Specterops analistleri, onelogin altyapısında, JWT token üretimi için gerekli olan ClearTet metni AWS kimlik bilgileri, API anahtarları ve kriptografik imzalama anahtarları dahil olmak üzere çoklu kritik pozlama noktası belirledi.
Araştırma, saldırganların meşru kimlik doğrulama jetonları oluşturmak, OneLogin’in güvenlik kontrollerini etkili bir şekilde atlamak ve dizin hizmeti ile senkronize edilmiş herhangi bir kullanıcıyı taklit etmek için bu maruz kalan kimlik bilgilerini kullanabileceğini ortaya koydu.
.webp)
Bu güvenlik açığı zinciri, ilk kimlik bilgisi maruziyetinin bir kuruluşun federasyonlu uygulamalarında yaygın olarak yetkisiz erişime yol açabileceği tam bir uzlaşma senaryosu gösterdi.
Onelogin çok sayıda kurumsal müşteri için merkezi bir kimlik sağlayıcısı olarak hizmet verdiğinden, bu güvenlik açıklarının etkisi basit kimlik hırsızlığının çok ötesine uzanmaktadır.
Meydan okuduğunda, bu sistemler saldırganlara bulut hizmetleri, şirket içi uygulamalar ve üçüncü taraf entegrasyonlar da dahil olmak üzere bir kuruluşun tüm uygulama ekosisteminde geniş erişim sağlayabilir.
Araştırma, kimlik federasyonu platformlarının modern kurumsal güvenlik mimarilerindeki merkezi rolleri nedeniyle nasıl yüksek değerli hedefler haline geldiğini vurguladı.
Teknik sömürü mekanizması
OneLogin’in yapılandırma API uç noktasına odaklanan güvenlik açığı sömürü süreci https://api.onelogin.com/api/adc/v4/configurationuygun dizin jetonları ile sorgulandığında hassas yapılandırma verilerini döndüren.
Araştırmacılar, bu uç noktanın API anahtarları, AWS AKIA kullanıcı kimlik bilgileri Clear metninde ve JWT token oluşturma için gerekli olan Base64 kodlu imzalama anahtarları dahil olmak üzere kritik bilgileri ortaya çıkardığını keşfettiler.
Maruz kalan AWS kimlik bilgileri, araştırmacılar referans alınan S3 kovasına erişmeye çalıştıklarında özellikle ilgili bir bulgu ortaya koydu. onelogin-adc-logs-production ve sahipsiz olduğunu keşfetti.
Bu kovayı kişisel bir AWS hesabına kaydederek, araştırmacılar gerçek bir onelogin müşterisinden üretim günlük dosyaları almaya başladılar ve tüm senkronize kullanıcılar ve geçerli dizin jetonları için ayrıntılı LDAP özellikleri içeriyor.
.webp)
Bu, OneLogin’in altyapı yönetiminde müşteri veri gizliliğinin ve vurgulanan sistemik sorunların tamamen ihlalini temsil ediyordu.
Teknik sömürü, JWT jeton yapısını anlamak için ters mühendislik OneLogin.
Ayrıştırma araçlarını kullanarak araştırmacılar, son kullanma süresi (EXP), ihraççı (ISS), kitle (AUD) ve konu (sub) değerleri dahil olmak üzere gerekli JWT alanlarını belirlediler.
Maruz kalan imza anahtarlarını kullanarak geçerli JWT jetonları oluşturmak için bir Python komut dosyası geliştirildi ve pratik istismar özelliğini gösterdi.
Kimlik doğrulama işlemi, bu hazırlanmış jetonların OneLogin’in SSO tüketici URL’sine gönderilmesini, tüm kimlik doğrulama kontrollerini etkili bir şekilde atlamayı ve federasyonlu uygulamalara kimliğe katılan kullanıcılar olarak erişim sağlamayı içeriyordu.
Bu güvenlik açığı zinciri, tek bir açıkta kalan uç noktanın tüm müşterinin kimlik altyapısını tehlikeye atabileceği güvenli kimlik bilgisi yönetimi ve API tasarımında kritik bir arızayı temsil eder.
Araştırma, kimlik federasyonu platformlarının en yüksek güvenlik koruma ve izleme seviyelerini gerektiren Seviye 0 varlıkları olarak ele almanın öneminin altını çizmektedir.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin