Usted estĆ” aquĆ:
API (Activar configuraciĆ³n de OAuth): Desactivar flujo de credenciales de cliente
Este control implica desactivar los flujos de "Credenciales de cliente" inseguros en favor de mĆ©todos de autenticaciĆ³n basados en certificados de alta seguridad como el Flujo de portador de JWT o Aplicaciones cliente externas (ECA).
Nombre de control
Aplicaciones conectadas: API (Activar configuraciĆ³n de OAuth): Desactivar flujo de credenciales de cliente
ConfiguraciĆ³n recomendada
Desactive Flujo de credenciales de cliente.
DescripciĆ³n general de control
Este control implica desactivar los flujos de "Credenciales de cliente" inseguros en favor de mĆ©todos de autenticaciĆ³n basados en certificados de alta seguridad como el Flujo de portador de JWT o Aplicaciones cliente externas (ECA).
Riesgo de seguridad si no estĆ” configurado
Estos flujos a menudo se basan en un Id. de cliente estĆ”tico y un Secreto de cliente (y a veces contraseƱas de usuario) que actĆŗan como "secretos compartidos", que se ponen en peligro fĆ”cilmente si se codifican en secuencias de comandos o se exponen en archivos de configuraciĆ³n.
Escenarios de amenazas
Un atacante descubre un secreto de cliente codificado en un repositorio pĆŗblico de GitHub o documentaciĆ³n interna y lo utiliza para autenticarse programĆ”ticamente como una cuenta de servicio de alto privilegio, obteniendo acceso completo de API a la organizaciĆ³n.
Intervalo de puntuaciĆ³n de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
El uso de credenciales inseguras conduce a una apropiaciĆ³n de cuenta persistente y no interactiva, permitiendo a un adversario exfiltrar cantidades masivas de datos o modificar la configuraciĆ³n del sistema sin desencadenar retos de MFA tradicionales.
Riesgo mƔs alto cuando
Si el flujo Credenciales de cliente estĆ” asociado con un usuario asignado al perfil "Administrador del sistema" o un perfil con permisos "Modificar todos los datos".
Bajo riesgo cuando
Si la empresa implementĆ³ intervalos de direcciones IP de inicio de sesiĆ³n estrictos para el usuario de integraciĆ³n y utiliza SupervisiĆ³n de solicitudes de API en tiempo real para detectar trĆ”fico anĆ³malo de gran volumen.
Consideraciones comerciales y de integraciĆ³n
La desactivaciĆ³n de estos flujos requiere migrar middleware existente (por ejemplo, MuleSoft, Boomi o secuencias de comandos Python personalizadas) para utilizar flujos de JWT basados en certificados, lo que implica gestionar certificados X.509 y actualizar la lĆ³gica del lado del cliente.
RemediaciĆ³n recomendada
Vaya a ConfiguraciĆ³n de OAuth de aplicaciĆ³n conectada, anule la selecciĆ³n de la casilla "Activar flujo de credenciales de cliente" y realice la transiciĆ³n de la integraciĆ³n para utilizar el Flujo de soporte de JWT con un certificado digital.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica la eliminaciĆ³n de flujos de credenciales heredados basados en contraseƱas como un paso crĆtico para modernizar la seguridad de identidad y avanzar hacia una arquitectura Zero Trust para todas las integraciones de sistema a sistema.
