Podatność w OneLogin AD Connector (przed wersją 6.1.5) umożliwia pobranie klucza podpisującego tokeny JWT (SSO signing key) przez nieuwierzytelnionego atakującego, co pozwala na podszywanie się pod dowolnego użytkownika w ramach tenantu OneLogin. Zagrożenie ma krytyczny wymiar, ponieważ skompromitowanie klucza daje pełny nieautoryzowany dostęp do całego środowiska SaaS ofiary.
▸ Pokaż oryginał (EN)
A cryptographic authentication bypass vulnerability exists in OneLogin AD Connector prior to 6.1.5 due to the exposure of a tenant’s SSO JWT signing key via the /api/adc/v4/configuration endpoint. An attacker in possession of the signing key can craft valid JWT tokens impersonating arbitrary users within a OneLogin tenant. The tokens allow authentication to the OneLogin SSO portal and all downstream applications federated via SAML or OIDC. This allows full unauthorized access across the victim’s SaaS environment.
Endpoint /api/adc/v4/configuration ujawnia klucz podpisujący JWT (SSO signing key) przypisany do tenantu bez wymagania uwierzytelnienia. Atakujący, który pozyska ten klucz, może samodzielnie generować prawidłowe tokeny JWT podszywające się pod dowolnego użytkownika w ramach danego tenantu OneLogin. Wygenerowane tokeny są akceptowane przez portal OneLogin SSO oraz wszystkie aplikacje zintegrowane z nim przez protokoły SAML lub OIDC. Podatność klasyfikowana jest jako CWE-290 (Authentication Bypass by Spoofing), ponieważ mechanizm weryfikacji tożsamości oparty na podpisie kryptograficznym zostaje całkowicie obejśty.
Atakujący uzyskuje pełny, nieautoryzowany dostęp do portalu SSO i wszystkich aplikacji SaaS sfederowanych przez SAML lub OIDC w ramach tenantu ofiary, co jest równoznaczne z kompromitacją całego środowiska tożsamości organizacji. Możliwe jest podszywanie się pod dowolnego użytkownika, w tym administratorów.
Należy zaktualizować OneLogin AD Connector do wersji 6.1.5 lub nowszej. Szczegóły dotyczące aktualizacji dostępne są w oficjalnym powiadomieniu producenta pod adresem: https://support.onelogin.com/product-notification/noti-00001768. Po aktualizacji zaleca się rotację skompromitowanego klucza JWT oraz audyt logów dostępu do endpointu /api/adc/v4/configuration w celu wykrycia ewentualnych nieautoryzowanych odczytów.
OneLogin AD Connector w wersjach wcześniejszych niż 6.1.5
Szczegółowy opis techniczny ścieżki ataku, w tym sposób odkrycia podatności podczas pracy z tenantami próbnymi, dostępny jest w analizie opublikowanej przez SpecterOps pod adresem: https://specterops.io/blog/2025/06/10/onelogin-many-issues-how-i-pivoted-from-a-trial-tenant-to-compromising-customer-signing-keys/
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X