В Банке данных угроз (BDU) зарегистрирована новая серьёзная уязвимость в популярном корпоративном программном обеспечении под идентификатором BDU:2026-00281. Речь идёт о компоненте OneLogin AD Connector, который используется для интеграции облачного сервиса единого входа (SSO) с локальными службами каталогов Active Directory. Обнаруженная ошибка, получившая идентификатор CVE-2025-34064, связана с некорректной обработкой ключей подписи JSON Web Token (JWT, веб-токен JSON). Эксплуатация этой уязвимости может позволить удалённому злоумышленнику получить несанкционированный доступ к конфиденциальной информации, включая критические данные аутентификации.
Детали уязвимости
Согласно данным из BDU:2026-00281, проблема затрагивает все версии OneLogin AD Connector до 6.1.5 включительно. Уязвимость классифицируется как раскрытие ресурса для ошибочной области данных (CWE-668). Иными словами, компонент, отвечающий за проверку подписи JWT-токенов, по ошибке предоставляет доступ к информации, которая должна быть строго защищена. Это создаёт брешь в безопасности всей цепочки доверия.
Оценки по системе CVSS подчёркивают высокую степень опасности. Базовая оценка CVSS 3.1 достигает критического уровня в 9.3 балла из 10. Столь высокий балл обусловлен комбинацией факторов: для атаки не требуется аутентификация или взаимодействие с пользователем, уязвимость затрагивает смежные компоненты системы, а последствия включают полную компрометацию конфиденциальности данных. Оценка по CVSS 4.0 также остаётся на критической отметке в 9.0 баллов.
Техническая суть уязвимости была детально исследована специалистами компании SpecterOps. Они выявили, что в определённых конфигурациях AD Connector некорректно обрабатывал запросы, что могло привести к раскрытию ключа подписи JWT. Этот ключ является цифровым «штампом», который подтверждает подлинность токенов, используемых для входа пользователей в различные корпоративные приложения. Следовательно, злоумышленник, завладевший таким ключом, потенциально может создавать собственные валидные токены для любого пользователя. Это открывает путь к полному контролю над учётными записями в интегрированных системах, имитируя легитимных сотрудников.
Потенциальный вектор атаки включает несанкционированный сбор информации, что является первым этапом для более масштабного вторжения. Злоумышленник может использовать украденный ключ для получения постоянного доступа (persistence) к корпоративной сети, обходя многофакторную аутентификацию и другие средства защиты. Далее возможно внедрение вредоносной полезной нагрузки (malicious payload) или движение по сети для кражи данных. Данный сценарий соответствует тактике «сбор информации» и «доступ к учётным данным» в матрице MITRE ATT&CK.
Важно отметить, что производитель, One Identity, уже подтвердил наличие уязвимости и выпустил обновление. Единственным эффективным способом устранения угрозы является немедленное обновление OneLogin AD Connector до версии, более новой, чем 6.1.5. Компания опубликовала официальное уведомление с рекомендациями. Специалисты по кибербезопасности настоятельно советуют администраторам проверить все установленные экземпляры соединителя и применить патч в приоритетном порядке.
Несмотря на то что наличие публичного эксплойта на данный момент уточняется, критический характер уязвимости не оставляет времени на раздумья. Подобные уязвимости в компонентах, отвечающих за аутентификацию, являются излюбленной мишенью для продвинутых групп киберпреступников. Они могут быть использованы как для целевых атак на конкретные организации, так и в массовых кампаниях.
Таким образом, уязвимость CVE-2025-34064 в OneLogin AD Connector представляет собой существенный риск для корпоративной безопасности. Она подрывает фундаментальный принцип доверия в системе единого входа. Своевременное обновление программного обеспечения остаётся ключевой и наиболее эффективной мерой защиты. Кроме того, командам SOC рекомендуется усилить мониторинг подозрительной активности, связанной с процессами аутентификации и генерацией токенов в своих сетях.
Ссылки
- https://bdu.fstec.ru/vul/2026-00281
- https://www.cve.org/CVERecord?id=CVE-2025-34064
- https://specterops.io/blog/2025/06/10/onelogin-many-issues-how-i-pivoted-from-a-trial-tenant-to-compromising-customer-signing-keys/
- https://vulncheck.com/advisories/onelogin-ad-connector-account-compromise
- https://support.onelogin.com/product-notification/noti-00001768
