Vulnerabilidade no OneLogin permite roubo de chaves de API

Uma falha de segurança de alta gravidade foi recentemente revelada na solução OneLogin Identity and Access Management (IAM) da One Identity. Se explorada com sucesso, a vulnerabilidade pode expor segredos confidenciais de clientes de aplicações que utilizam o padrão OpenID Connect (OIDC), representando um risco significativo para a segurança empresarial.

Identificada como CVE-2025-59363, a falha recebeu uma pontuação de 7,7 (Alta) no sistema CVSS e foi classificada como uma transferência incorreta de recursos entre esferas (CWE-669). Em essência, esse erro faz com que o programa ultrapasse limites de segurança definidos, concedendo acesso não autorizado a dados que deveriam estar protegidos.

De acordo com o relatório da Clutch Security, que descobriu e divulgou a falha, o CVE-2025-59363 "permitiu que invasores com credenciais de API válidas enumerassem e recuperassem segredos de clientes para todos os aplicativos OIDC dentro do locatário OneLogin de uma organização."

O problema reside no endpoint de listagem de aplicativos, /api/2/apps, que foi configurado para devolver mais dados do que o pretendido. Além dos metadados normais das aplicações em uma conta OneLogin, a resposta da API incluía os valores de client_secret – as chaves secretas cruciais usadas para autenticar o aplicativo.

O vetor de ataque é direto e alarmante:

1. Um hacker obtém credenciais válidas de API do OneLogin (ID e segredo de cliente).

2. Solicita um token de acesso.

3. Chama o endpoint /api/2/apps para listar todos os aplicativos da organização.

4. Analisa a resposta da API e recupera os client_secrets de todas as aplicações OIDC.

5. Usa os segredos extraídos para personificar as aplicações e obter acesso a serviços integrados.

Uma exploração bem-sucedida confere ao invasor que possui credenciais de API válidas a capacidade de recuperar segredos de cliente para todos os aplicativos OIDC configurados no locatário. De posse desse segredo exposto, o hacker poderia personificar usuários, obter acesso a outros aplicativos e realizar movimentação lateral dentro da infraestrutura de segurança da vítima.

A situação é agravada pela arquitetura de controle de acesso do OneLogin. O Controle de Acesso Baseado em Funções (RBAC) da plataforma concede às chaves de API um acesso relativamente amplo a endpoints, o que significa que credenciais comprometidas podem ser usadas para varrer e acessar dados sensíveis em toda a plataforma.

Além disso, a ausência de lista de permissões de endereços IP – um recurso de segurança comum – permite que hackers explorem a falha de qualquer lugar do mundo, aumentando a superfície de ataque, conforme destacado pela Clutch Security.

Após uma divulgação responsável do achado em 18 de julho de 2025, a vulnerabilidade foi prontamente corrigida pela One Identity. A correção foi implementada no OneLogin 2025.3.0, lançado no mês seguinte, que tornou os valores de client_secret OIDC invisíveis na resposta do endpoint /api/2/apps.

Stuart Sharp, vice-presidente de produto da OneLogin na One Identity, agradeceu a divulgação responsável e confirmou: "A vulnerabilidade relatada foi resolvida dentro de um prazo razoável [...]. Até onde sabemos, nenhum cliente foi afetado por esta vulnerabilidade."

Embora não haja evidências de que o problema tenha sido explorado em campo, a Clutch Security reforça a gravidade da falha: "Os provedores de identidade atuam como a espinha dorsal da arquitetura de segurança empresarial. Vulnerabilidades nesses sistemas podem ter efeitos em cascata em pilhas de tecnologia inteiras, tornando essencial uma segurança rigorosa de APIs."

Via - THN