В Банке данных угроз безопасности информации (BDU) зарегистрирована новая опасная уязвимость в программном обеспечении для интеграции корпоративных систем. Уязвимость, получившая идентификатор BDU:2026-00280, затрагивает компонент JWT Signing Key Handler в решении OneLogin AD Connector от компании One Identity. Эксперты оценивают её максимальным баллом 10.0 по всем актуальным версиям метрики CVSS, что указывает на исключительную серьёзность угрозы. По сути, она позволяет злоумышленнику полностью обойти механизмы проверки подлинности.
Детали уязвимости
Проблема классифицируется как уязвимость архитектуры и относится к классу CWE-290, то есть к обходу аутентификации посредством спуфинга. Она затрагивает все версии OneLogin AD Connector вплоть до 6.1.5. Данное прикладное ПО широко используется для синхронизации данных между службой каталогов Active Directory и облачной платформой идентификации OneLogin. Следовательно, успешная эксплуатация уязвимости предоставляет удалённому злоумышленнику возможность несанкционированного доступа к критически важной информации, включая учётные данные пользователей.
Техническая суть уязвимости заключается в некорректной обработке JWT (JSON Web Tokens), которые представляют собой стандартный метод безопасной передачи данных между сторонами. Конкретно, компонент, отвечающий за проверку ключей подписи этих токенов, содержит логическую ошибку. В результате злоумышленник может сгенерировать поддельный токен, который система ошибочно примет за легитимный. Этот процесс и называется спуфингом. Таким образом, атакующий получает возможность выдать себя за любого пользователя или администратора системы без знания их пароля.
Оценка по метрике CVSS 3.1 имеет вид AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Расшифровка этой формулы подтверждает наихудший сценарий. Атака может быть осуществлена через сеть (AV:N) без необходимости каких-либо специальных условий (AC:L) или привилегий (PR:N). Кроме того, для эксплуатации не требуется взаимодействие с пользователем (UI:N). Особенно опасен высокий показатель Scope (S:C), означающий, что последствия атаки могут распространиться за пределы уязвимого компонента на другие части корпоративной инфраструктуры. В итоге под угрозой оказывается полная конфиденциальность (C:H), целостность (I:H) и доступность (A:H) данных.
Производитель, компания One Identity, уже подтвердил наличие уязвимости и присвоил ей идентификатор CVE-2025-34063. Это свидетельствует о том, что проблема прошла стандартный процесс координации исправлений. Вендор оперативно выпустил патч, устраняющий брешь в безопасности. Согласно официальному уведомлению, уязвимость была полностью устранена. Поэтому единственной рекомендованной мерой для всех пользователей является немедленное обновление OneLogin AD Connector до версии, следующей за 6.1.5.
Несмотря на отсутствие подтверждённых данных о наличии эксплойта в открытом доступе, критический рейтинг уязвимости делает её первоочередной целью для киберпреступников, особенно для групп, занимающихся целевыми атаками (APT). Исследователи из SpecterOps и VulnCheck подробно описали технические детали проблемы в своих блогах. Они отмечают, что компрометация ключей подписи JWT, которая становится возможной из-за этой уязвимости, является объектом особого интереса для атакующего, так как открывает путь к долговременному закреплению в системе (persistence) и выполнению произвольного вредоносного кода (payload).
В настоящее время статус уязвимости в BDU обозначен как "Подтверждена производителем" и "Уязвимость устранена". Это позитивный сигнал для рынка информационной безопасности. Однако история с CVE-2025-34063 служит важным напоминанием для всех компаний, использующих решения для управления идентификацией. Во-первых, необходимо строго соблюдать политики своевременного обновления ПО. Во-вторых, следует уделять повышенное внимание архитектурным уязвимостям в критически важных компонентах, отвечающих за аутентификацию и авторизацию. В конечном итоге, инцидент подчёркивает, что даже в надёжных, широко распространённых корпоративных продуктах могут обнаруживаться фундаментальные изъяны, ставящие под угрозу всю систему безопасности организации.
Ссылки
- https://bdu.fstec.ru/vul/2026-00280
- https://www.cve.org/CVERecord?id=CVE-2025-34063
- https://specterops.io/blog/2025/06/10/onelogin-many-issues-how-i-pivoted-from-a-trial-tenant-to-compromising-customer-signing-keys/
- https://vulncheck.com/advisories/onelogin-ad-connector-account-compromise
- https://support.onelogin.com/product-notification/noti-00001768
