資安業者One Identity近日發布雲端身分驗證與存取管理(IAM)解決方案OneLogin更新2025.3.0版,當中修補高風險資安漏洞CVE-2025-59363,CVSS風險評為7.7。通報此事的資安業者Clutch Security透露細節,指出一旦遭到利用,攻擊者有機會利用有效的API憑證,將OneLogin租戶OpenID Connect(OIDC)應用程式的用戶端帳密,全部挖掘出來。
這項漏洞的影響範圍有多大?OneLogin全球有5,500家企業用戶,Clutch Security估計每家企業可能有20至50個OIDC應用程式,換言之,全球總共有11萬至27.5萬個應用程式曝險。此外,企業組織若是採用OneLogin對第三方服務進行OIDC整合,也可能曝險,特別是供應商或承包商共享的API憑證,尤其危險。
攻擊者若是利用這項漏洞,就能冒充使用者,從而藉由用戶的帳密資料,對於整合的應用程式進行未經授權的存取,有可能將供應鏈的資安風險放大,因為攻擊者只要取得其中一組外流的供應商憑證,就有機會曝露受害組織所有OIDC應用程式。
由於該弱點的存在,任何持有OneLogin API有效憑證的攻擊者,均可截取租戶所有OIDC應用程式的用戶機敏資料。而且,這項漏洞還能讓供應鏈攻擊的範圍倍增。例如,企業組織通常會為了進行整合,向第三方供應商提供OneLogin API金鑰,而這種金鑰往往能存取所有的端點,因此攻擊者不光能竊得與特定廠商整合的OIDC應用程式帳密,還能以此擷取其他應用程式帳密,使得供應商的資安風險也跟著放大。
再者,攻擊者能濫用外流的用戶端密碼冒充應用程式,執行OAuth身分驗證流程取得Token,從而繞過相關整合服務的身分驗證機制。更可怕的是,攻擊者還有機會以此橫向移動,存取企業組織的AWS、Azure、GCP等雲端基礎設施、資料庫、財務系統、關鍵應用系統。
Clutch Security強調利用漏洞相當容易,攻擊者首先使用有效的OneLogin API帳密通過身分驗證,成功存取API;然後試圖使用標準的OAuth2用戶端帳密流程取得持有者的Token。
接著,攻擊者呼叫/api/2/apps端點找出所有的OIDC應用程式,並解析回應來擷取應用程式用戶端帳密,最終能利用得到的用戶端密碼來模擬應用程式,存取整合服務。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-11-30
2025-12-01
2025-12-04