CyberThao
Writer
Một lỗ hổng nghiêm trọng vừa được phát hiện trong giải pháp Quản lý danh tính và truy cập (IAM) One Identity OneLogin. Nếu bị khai thác, nó có thể làm lộ các bí mật nhạy cảm của ứng dụng khách OpenID Connect (OIDC) và mở đường cho kẻ tấn công mạo danh ứng dụng.
Theo báo cáo của Clutch Security, lỗ hổng này được định danh CVE-2025-59363 với điểm CVSS 7,7/10. Nó xuất phát từ việc điểm cuối API /api/2/apps trả về nhiều dữ liệu hơn mong đợi, bao gồm cả client_secret OIDC, thay vì chỉ metadata ứng dụng. Về kỹ thuật, đây là lỗi CWE-669 – chuyển giao tài nguyên không chính xác giữa các phạm vi, cho phép chương trình vượt rào bảo mật để truy cập dữ liệu nhạy cảm.
Quy trình tấn công được mô tả khá rõ:
Điểm đáng lo ngại là RBAC (Role-Based Access Control) trong OneLogin cấp cho API key quyền khá rộng, vì vậy khi bị xâm phạm, kẻ tấn công có thể truy cập vào nhiều endpoint nhạy cảm. Thêm vào đó, việc thiếu cơ chế giới hạn theo địa chỉ IP khiến nguy cơ khai thác từ bất cứ đâu trên thế giới trở nên hiện hữu.
OneLogin xác nhận lỗ hổng đã được báo cáo ngày 18/7/2025 và vá trong bản phát hành OneLogin 2025.3.0 bằng cách loại bỏ giá trị client_secret khỏi phản hồi API. Công ty cũng cho biết hiện chưa có bằng chứng cho thấy lỗ hổng từng bị khai thác thực tế.
Clutch Security nhấn mạnh: Các nhà cung cấp danh tính là nền tảng của kiến trúc bảo mật doanh nghiệp. Một lỗ hổng như thế này có thể gây hiệu ứng domino trên toàn bộ hệ thống công nghệ, do đó việc siết chặt bảo mật API là điều không thể xem nhẹ.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/onelogin-bug-let-attackers-use-api-keys.html
Theo báo cáo của Clutch Security, lỗ hổng này được định danh CVE-2025-59363 với điểm CVSS 7,7/10. Nó xuất phát từ việc điểm cuối API /api/2/apps trả về nhiều dữ liệu hơn mong đợi, bao gồm cả client_secret OIDC, thay vì chỉ metadata ứng dụng. Về kỹ thuật, đây là lỗi CWE-669 – chuyển giao tài nguyên không chính xác giữa các phạm vi, cho phép chương trình vượt rào bảo mật để truy cập dữ liệu nhạy cảm.
Nguy cơ khai thác và cách OneLogin khắc phục
Quy trình tấn công được mô tả khá rõ:
- Kẻ tấn công dùng thông tin xác thực API OneLogin hợp lệ (client ID và secret) để xác thực.
- Lấy access token.
- Gọi đến /api/2/apps để liệt kê toàn bộ ứng dụng.
- Phân tích phản hồi API để trích xuất client_secret của tất cả ứng dụng OIDC.
- Sử dụng các bí mật này để mạo danh ứng dụng, truy cập dịch vụ tích hợp và mở rộng tấn công sang nhiều hệ thống khác.
Điểm đáng lo ngại là RBAC (Role-Based Access Control) trong OneLogin cấp cho API key quyền khá rộng, vì vậy khi bị xâm phạm, kẻ tấn công có thể truy cập vào nhiều endpoint nhạy cảm. Thêm vào đó, việc thiếu cơ chế giới hạn theo địa chỉ IP khiến nguy cơ khai thác từ bất cứ đâu trên thế giới trở nên hiện hữu.
OneLogin xác nhận lỗ hổng đã được báo cáo ngày 18/7/2025 và vá trong bản phát hành OneLogin 2025.3.0 bằng cách loại bỏ giá trị client_secret khỏi phản hồi API. Công ty cũng cho biết hiện chưa có bằng chứng cho thấy lỗ hổng từng bị khai thác thực tế.
Clutch Security nhấn mạnh: Các nhà cung cấp danh tính là nền tảng của kiến trúc bảo mật doanh nghiệp. Một lỗ hổng như thế này có thể gây hiệu ứng domino trên toàn bộ hệ thống công nghệ, do đó việc siết chặt bảo mật API là điều không thể xem nhẹ.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/onelogin-bug-let-attackers-use-api-keys.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview