Uma falha de segurança de alta gravidade foi recentemente revelada na solução OneLogin Identity and Access Management (IAM) da One Identity. Se explorada com sucesso, a vulnerabilidade pode expor segredos confidenciais de clientes de aplicações que utilizam o padrão OpenID Connect (OIDC), representando um risco significativo para a segurança empresarial.

Identificada como CVE-2025-59363, a falha recebeu uma pontuação de 7,7 (Alta) no sistema CVSS e foi classificada como uma transferência incorreta de recursos entre esferas (CWE-669). Em essência, esse erro faz com que o programa ultrapasse limites de segurança definidos, concedendo acesso não autorizado a dados que deveriam estar protegidos.

De acordo com o relatório da Clutch Security, que descobriu e divulgou a falha, o CVE-2025-59363 "permitiu que invasores com credenciais de API válidas enumerassem e recuperassem segredos de clientes para todos os aplicativos OIDC dentro do locatário OneLogin de uma organização."

O problema reside no endpoint de listagem de aplicativos, /api/2/apps, que foi configurado para devolver mais dados do que o pretendido. Além dos metadados normais das aplicações em uma conta OneLogin, a resposta da API incluía os valores de client_secret – as chaves secretas cruciais usadas para autenticar o aplicativo.

O vetor de ataque é direto e alarmante:

1. Um hacker obtém credenciais válidas de API do OneLogin (ID e segredo de cliente).

2. Solicita um token de acesso.

3. Chama o endpoint /api/2/apps para listar todos os aplicativos da organização.

4. Analisa a resposta da API e recupera os client_secrets de todas as aplicações OIDC.

5. Usa os segredos extraídos para personificar as aplicações e obter acesso a serviços integrados.

Uma exploração bem-sucedida confere ao invasor que possui credenciais de API válidas a capacidade de recuperar segredos de cliente para todos os aplicativos OIDC configurados no locatário. De posse desse segredo exposto, o hacker poderia personificar usuários, obter acesso a outros aplicativos e realizar movimentação lateral dentro da infraestrutura de segurança da vítima.

A situação é agravada pela arquitetura de controle de acesso do OneLogin. O Controle de Acesso Baseado em Funções (RBAC) da plataforma concede às chaves de API um acesso relativamente amplo a endpoints, o que significa que credenciais comprometidas podem ser usadas para varrer e acessar dados sensíveis em toda a plataforma.

Além disso, a ausência de lista de permissões de endereços IP – um recurso de segurança comum – permite que hackers explorem a falha de qualquer lugar do mundo, aumentando a superfície de ataque, conforme destacado pela Clutch Security.

Após uma divulgação responsável do achado em 18 de julho de 2025, a vulnerabilidade foi prontamente corrigida pela One Identity. A correção foi implementada no OneLogin 2025.3.0, lançado no mês seguinte, que tornou os valores de client_secret OIDC invisíveis na resposta do endpoint /api/2/apps.

Stuart Sharp, vice-presidente de produto da OneLogin na One Identity, agradeceu a divulgação responsável e confirmou: "A vulnerabilidade relatada foi resolvida dentro de um prazo razoável [...]. Até onde sabemos, nenhum cliente foi afetado por esta vulnerabilidade."

Embora não haja evidências de que o problema tenha sido explorado em campo, a Clutch Security reforça a gravidade da falha: "Os provedores de identidade atuam como a espinha dorsal da arquitetura de segurança empresarial. Vulnerabilidades nesses sistemas podem ter efeitos em cascata em pilhas de tecnologia inteiras, tornando essencial uma segurança rigorosa de APIs."

Via - THN