Credit image: Freepix
Cacat Keamanan OneLogin Bocorkan Kunci Rahasia Aplikasi – Sebuah kerentanan keamanan tingkat tinggi baru-baru ini terungkap dalam solusi Identity and Access Management (IAM) OneLogin dari One Identity.
Cacat ini, jika berhasil dieksploitasi, berpotensi mengekspos rahasia klien (client secrets) aplikasi OpenID Connect (OIDC) yang sangat sensitif dalam kondisi tertentu.
Kerentanan ini, yang dilacak sebagai CVE-2025-59363 dengan skor CVSS 7.7 (tinggi), dikategorikan sebagai kasus transfer sumber daya yang tidak benar antar-lingkup keamanan (Incorrect Resource Transfer Between Spheres/CWE-669).
Artinya, sebuah program tanpa sengaja melintasi batas keamanan dan memberikan akses tidak sah ke data rahasia.
Para peneliti keamanan yang menemukan masalah ini menyatakan bahwa kerentanan tersebut memungkinkan penyerang dengan kredensial API yang valid untuk menghitung dan mengambil rahasia klien untuk semua aplikasi OIDC dalam tenant OneLogin suatu organisasi.
|
Baca juga: Strategi Baru Saat Serangan Datang dari Media Sosial & Iklan |
Mekanisme Kebocoran Data
Masalah ini bersumber dari konfigurasi endpoint (titik akhir) daftar aplikasi, tepatnya pada /api/2/apps. Endpoint ini diatur untuk mengembalikan data lebih banyak dari yang seharusnya.
Dalam respons API, selain metadata terkait aplikasi, ia juga secara tidak sengaja menyertakan nilai client_secret.
Nilai client_secret ini, pada dasarnya adalah kunci rahasia digital, digunakan oleh aplikasi untuk membuktikan identitasnya kepada penyedia identitas (OneLogin). Dengan bocornya kunci ini, pintu gerbang ke sistem lain pun terbuka.
Alur Serangan yang Mematikan
Alur serangan yang memanfaatkan celah ini relatif sederhana namun sangat merusak:
- Penyerang memperoleh kredensial API OneLogin yang sah (ID klien dan rahasia).
- Penyerang meminta access token.
- Kemudian penyerang memanggil endpoint /api/2/apps untuk mendapatkan daftar semua aplikasi.
- Langkah berikutnya mereka menganalisis respons dan mengambil semua client_secret aplikasi OIDC.
- Dengan kunci rahasia yang terekspos, peretas dapat menyamar (impersonate) sebagai aplikasi dan mendapatkan akses ke berbagai layanan terintegrasi lainnya.
Dampak dan Komplikasi Serangan
Akses ke kunci rahasia aplikasi OIDC ini memungkinkan aktor ancaman untuk bergerak secara lateral (lateral movement) di dalam infrastruktur teknologi perusahaan.
Mereka dapat berpindah dari satu aplikasi ke aplikasi lain, membuka peluang pencurian data sensitif yang luas.
Komplikasi ancaman ini diperparah oleh dua faktor dalam arsitektur OneLogin:
- Akses API Berbasis Peran Luas (RBAC): Kunci API OneLogin umumnya diberikan hak akses endpoint yang luas, sehingga kredensial yang disusupi dapat mengakses endpoint sensitif di seluruh platform.
- Kurangnya IP Address Allowlisting: Tidak adanya batasan daftar alamat IP yang diizinkan (allowlisting) berarti penyerang dapat mengeksploitasi kerentanan ini dari mana saja di dunia.
|
Baca juga: 316 Merek di 74 Negara Masuk Daftar Serangan Siber |
Pentingnya Keamanan API pada Penyedia Identitas
Penyedia Identitas (Identity Providers/IdP), seperti OneLogin, berfungsi sebagai tulang punggung arsitektur keamanan perusahaan karena mereka mengontrol siapa yang dapat mengakses apa.
Kerentanan pada sistem ini dapat menimbulkan efek berantai (cascading effects) di seluruh tumpukan teknologi perusahaan.
Para ahli keamanan siber terus menekankan bahwa meskipun keamanan firewall dan endpoint sudah kuat, fokus harus beralih ke keamanan API yang ketat.
API yang dibangun dengan buruk atau diuji secara tidak memadai dapat menjadi lubang jarum yang memungkinkan penjahat siber membobol seluruh benteng keamanan perusahaan.
Tindakan dan Respons
Setelah diungkapkan secara bertanggung jawab pada 18 Juli 2025, kerentanan CVE-2025-59363 segera diperbaiki dalam rilis OneLogin versi 2025.3.0 bulan lalu.
Perbaikan dilakukan dengan memastikan nilai client_secret OIDC tidak lagi terlihat dalam respons API.
Pihak One Identity menyatakan apresiasi mereka atas pengungkapan yang bertanggung jawab tersebut dan mengklaim bahwa sejauh pengetahuan mereka, tidak ada pelanggan yang terkena dampak eksploitasi di dunia nyata dari kerentanan ini.
Bagi pengguna OneLogin, langkah paling penting adalah memastikan bahwa perangkat lunak OneLogin Anda telah diperbarui ke versi 2025.3.0 atau yang lebih baru untuk segera menghilangkan risiko kebocoran ini.
Sumber berita:
