OneLogin’in Active Directory (AD) konektör hizmetindeki kritik bir güvenlik açığı, kurumsal kimlik doğrulama sistemlerini önemli bir riske maruz bıraktı
Secterops tarafından ortaya çıkarılan, kötü niyetli aktörlerin kimlik doğrulama kimlik bilgileri almasına, kullanıcıları taklit etmesine ve OneLogin’in platformu aracılığıyla hassas uygulamalara erişmesine izin verdi.
Önde gelen bir kimlik ve erişim yönetimi (IAM) çözümü olan OneLogin, kuruluşlar için tek oturum açma (SSO) ve çok faktörlü kimlik doğrulama sağlamak için Active Directory ve AWS gibi popüler dizin hizmetleriyle bütünleşir.
.png
)
Hizmetin reklam konnektörü, şirket içi kullanıcı dizinlerini bulut platformlarıyla senkronize etmek için yaygın olarak kullanılır.
OneLogin AD konnektörü güvenlik açıkları
Araştırmacılar, saldırganların önemli kimlik bilgilerine ve kriptografik anahtarlara erişmek için OneLogin’in reklam konnektörünü kullanabileceğini ve geçerli JSON Web jetonlarını (JWTS) dövmelerini sağlayabildiğini buldular.
Bu jetonlar, bir hedef alandaki herhangi bir kullanıcıyı taklit etmek ve kurumsal uygulamalara yetkisiz erişim kazanmak için kullanılabilir.
İlk ihlal vektörü, kütüklerde sabit kodlu AWS kimlik bilgilerini içeriyordu ve OneLogin API’sı tarafından referans verilen yanlışlıkla sızdırılmış S3 kova adları.
Talep edilmemiş bir S3 kovası kaydederek araştırmacılar, API anahtarları ve dizin jetonları da dahil olmak üzere canlı bir Onelogin müşterisinden günlük almaya başladılar. Bunlarla, kararlı bir saldırgan kullanıcıları numaralandırabilir, imzalama anahtarlarını alabilir ve kimlik doğrulama önlemlerini atlayan JWT’leri zanaat edebilir, danışmanlığı okuyabilir.
Güvenlik açığı, büyük ölçekli hesap devralma olasılığını artırdı. En az bir durumda, araştırmacılar, başka bir kuruluştan detaylı kullanıcı özellikleri ve dizin jetonları içeren günlükler aldılar ve kiracılar arası maruz kaldılar.
.NET tabanlı connectorservice.exe tersine mühendislik yaparak araştırmacılar, onelogin tarafından kullanılan kesin JWT yapısını ortaya çıkardılar.
İmzalama anahtarı ve kullanıcı tanımlayıcıları elinde, e -posta hesaplarından bulut altyapısına kadar her şeyi tehlikeye atan bir kullanıcıya atanan herhangi bir uygulamaya erişim sağlayan jetonlar oluşturabilirler.
Kusurun detayları Aralık 2024’te Onelogin’e açıklandı. Şirket raporu derhal kabul etti, ancak çözüm ilerlemesini iletmek için yavaştı.
Haziran 2025 itibariyle Onelogin, API iletişimi için şifreleme önlemleri getirerek ve bulut bilgi akışlarını güvence altına alarak güvenlik açığını giderdiğini söylüyor.
Uzmanlar, OneLogin gibi IAM platformlarının Seviye 0 varlıkları olarak ele alınması ve katı ağ segmentasyonu ve erişim kontrolleri ile korunması gerektiğini vurgular.
Kuruluşlar uygulama günlüklerini denetlemeli, açıkta kalan kimlik bilgilerini döndürmeli ve yalnızca yetkili ana bilgisayarların reklam bağlayıcı hizmetleriyle iletişim kurmasını sağlamalıdır.
Onelogin düzeltmeler duyururken, bağımsız doğrulama beklemede. Müşteriler, daha fazla güvenlik güncellemesi için resmi sürüm notlarını izlemeleri istenir.
Olay, kimlik platformlarında titiz güvenliğin kritik öneminin altını çiziyor. İşletmeler erişim kontrolü için IAM’ye giderek daha fazla güvenirken, tek bir güvenlik açığının bile dijital girişim manzarasında kapsamlı sonuçları olabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin