Vulnerabilità di sicurezza ad alta gravità in One Identity OneLogin IAM
Una vulnerabilità di sicurezza di alta gravità è stata scoperta nella soluzione di Identity and Access Management (IAM) di One Identity OneLogin. Se sfruttata con successo, questa falla potrebbe esporre segreti sensibili delle applicazioni OpenID Connect (OIDC) in determinate circostanze.
Dettagli della vulnerabilità CVE-2025-59363
La vulnerabilità, identificata come CVE-2025-59363, ha ricevuto un punteggio CVSS di 7.7 su 10.0. È stata descritta come un caso di trasferimento errato di risorse tra sfere (CWE-669), che consente a un programma di attraversare i confini di sicurezza e ottenere accesso non autorizzato a dati o funzioni riservate.
Secondo Clutch Security, CVE-2025-59363 “permetteva agli attaccanti con credenziali API valide di enumerare e recuperare i segreti dei client per tutte le applicazioni OIDC all’interno di un tenant OneLogin di un’organizzazione”.
Origine del problema
Il problema deriva dal fatto che l’endpoint di elencazione delle applicazioni – /api/2/apps – era configurato per restituire più dati del previsto, inclusi i valori client_secret nella risposta API insieme ai metadati relativi alle app in un account OneLogin.
Passaggi per sfruttare la vulnerabilità
Gli attaccanti possono seguire questi passaggi per sfruttare la vulnerabilità:
- Utilizzare credenziali API OneLogin valide (ID client e segreto) per autenticarsi.
- Richiedere un token di accesso.
- Chiamare l’endpoint /api/2/apps per elencare tutte le applicazioni.
- Analizzare la risposta per recuperare i segreti dei client per tutte le applicazioni OIDC.
- Utilizzare i segreti dei client estratti per impersonare le applicazioni e accedere ai servizi integrati.
Implicazioni della vulnerabilità
Lo sfruttamento riuscito della falla potrebbe consentire a un attaccante con credenziali API OneLogin valide di recuperare i segreti dei client per tutte le applicazioni OIDC configurate all’interno di un tenant OneLogin. Con questo accesso, l’attore malevolo potrebbe utilizzare il segreto esposto per impersonare gli utenti e accedere ad altre applicazioni, offrendo opportunità per movimenti laterali.
Il controllo degli accessi basato sui ruoli (RBAC) di OneLogin concede alle chiavi API un ampio accesso agli endpoint, il che significa che le credenziali compromesse potrebbero essere utilizzate per accedere a endpoint sensibili su tutta la piattaforma. Inoltre, l’assenza di una lista di indirizzi IP consentiti rende possibile per gli attaccanti sfruttare la falla da qualsiasi parte del mondo.
Risoluzione della vulnerabilità
Dopo una divulgazione responsabile il 18 luglio 2025, la vulnerabilità è stata risolta nella versione OneLogin 2025.3.0, rilasciata il mese scorso, rendendo i valori client_secret OIDC non più visibili. Non ci sono prove che il problema sia mai stato sfruttato in natura.
Considerazioni finali
La sicurezza delle identità è fondamentale per l’architettura di sicurezza aziendale. Le vulnerabilità in questi sistemi possono avere effetti a cascata su altre applicazioni e servizi. È rassicurante sapere che OneLogin ha risolto rapidamente il problema, dimostrando un impegno verso la protezione dei propri clienti. Tuttavia, questo incidente sottolinea l’importanza di una vigilanza continua e di un’implementazione rigorosa delle migliori pratiche di sicurezza per prevenire future vulnerabilità.
Fonte: The Hackers News
