Falha grave no OAuth2-Proxy (CVE-2025-54576) permite que invasores burlem a autenticaĆ§Ć£o
- Cyber Security Brazil
- hĆ” 4 horas
- 3 min de leitura
Uma vulnerabilidade de seguranƧa crĆtica foi descoberta no OAuth2-Proxy, uma ferramenta de cĆ³digo aberto amplamente utilizada para proteger aplicaƧƵes web atravĆ©s da autenticaĆ§Ć£o OAuth2 ou OIDC. Identificada como CVE-2025-54576, a falha recebeu uma pontuaĆ§Ć£o CVSS de 9.1 (CrĆtica), sinalizando um risco elevado para milhares de sistemas globalmente. A brecha permite que um hacker, sem qualquer autenticaĆ§Ć£o, acesse rotas e dados que deveriam estar protegidos.
O Que Ć© o OAuth2-Proxy?
O OAuth2-Proxy funciona como um proxy reverso ou middleware, atuando como um porteiro digital para aplicaƧƵes web. Ele intercepta as solicitaƧƵes dos usuĆ”rios e as redireciona para um provedor de identidade (como Google, GitHub ou Okta) para verificar quem o usuĆ”rio Ć©. Devido Ć sua flexibilidade e natureza de cĆ³digo aberto, tornou-se uma peƧa fundamental na arquitetura de seguranƧa de muitas empresas, especialmente em ambientes modernos como Kubernetes, com balanceadores de carga e em infraestruturas nativas da nuvem.
A Raiz da Vulnerabilidade
O problema reside na configuraĆ§Ć£o skip_auth_routes. Esta funcionalidade permite que desenvolvedores listem rotas especĆficas que devem ignorar a verificaĆ§Ć£o de autenticaĆ§Ć£o, usando expressƵes regulares (regex). Contudo, foi descoberto que a ferramenta aplicava esses padrƵes de regex contra o URI completo da requisiĆ§Ć£o ā incluindo os parĆ¢metros de consulta (query parameters) ā e nĆ£o apenas contra o caminho (path) da URL, como seria o esperado.
Essa falha de lĆ³gica permite que hackers manipulem a URL. Ao adicionar uma string de consulta especialmente criada a um endpoint protegido, eles conseguem enganar o proxy, fazendo-o acreditar que a rota deveria ser pĆŗblica e, assim, liberando o acesso indevidamente.
Exemplo PrƔtico do Ataque
Imagine que um desenvolvedor configure a seguinte regra para permitir acesso pĆŗblico a uma rota especĆfica:
skip_auth_routes = ["^/foo/.*/bar$"]A intenĆ§Ć£o Ć© liberar o acesso a URLs como /foo/qualquercoisa/bar.
No entanto, devido Ć falha, um invasor pode obter acesso a um endpoint sensĆvel, como /foo/critical_endpoint, que deveria ser protegido. Para isso, ele simplesmente constrĆ³i a seguinte URL:
/foo/critical_endpoint?param=/barEmbora o caminho /foo/critical_endpointĀ esteja protegido, a presenƧa do parĆ¢metro
?param=/barĀ no final da URL engana o sistema, fazendo com que ele corresponda Ć regra de exceĆ§Ć£o e pule a etapa de autenticaĆ§Ć£o.
Quem EstĆ” em Risco?
Este bug afeta principalmente os administradores e desenvolvedores que utilizam padrƵes de regex amplos ou com curingas (wildcards como .*) em sua configuraĆ§Ć£o skip_auth_routes.
O risco Ć© ainda maior se a aplicaĆ§Ć£o de backend nĆ£o validar ou bloquear parĆ¢metros de consulta inesperados, tornando o sistema totalmente vulnerĆ”vel ao bypass de autenticaĆ§Ć£o.
CorreĆ§Ć£o DisponĆvel e AĆ§Ć£o Imediata
O problema foi corrigido na versĆ£o v7.11.0 do OAuth2-Proxy. A recomendaĆ§Ć£o Ć© que todos os usuĆ”rios atualizem seus sistemas o mais rĆ”pido possĆvel.
Para aqueles que nĆ£o podem atualizar imediatamente, as seguintes medidas de mitigaĆ§Ć£o devem ser tomadas para reduzir o risco:
Audite suas configuraƧƵes:Ā Revise todas as regras em skip_auth_routesĀ em busca de expressƵes regulares excessivamente amplas.
Use padrƵes estritos:Ā Evite curingas sempre que possĆvel. Prefira caminhos exatos.
Ancore suas expressƵes:Ā Certifique-se de que os padrƵes comecem com ^Ā e terminem com $, para garantir que a correspondĆŖncia seja feita do inĆcio ao fim da string.
Seja especĆfico:Ā Em vez de usar um padrĆ£o amplo como "^/public/.*", use caminhos especĆficos e explĆcitos como:
"^/public/assets$"
"^/public/health$"
"^/api/status$"
A mensagem para a comunidade de desenvolvedores e administradores de sistemas Ć© clara: se vocĆŖ utiliza a funcionalidade skip_auth_routes, nĆ£o espere. A atualizaĆ§Ć£o para a versĆ£o v7.11.0 Ć© a medida mais segura e urgente a ser tomada.
Via - SOCRadar
