Usted estĆ” aquĆ:
API (Activar configuraciĆ³n de OAuth): Desactivar el control de flujo de credenciales de cliente
Este control implica la desactivaciĆ³n de los flujos de "Credenciales de cliente" inseguros en favor de mĆ©todos de autenticaciĆ³n basados en certificados de alta seguridad como el Flujo de soporte JWT o Aplicaciones cliente externas (ECA).
Nombre de control
Aplicaciones conectadas: API (Activar configuraciĆ³n de OAuth): Desactivar flujo de credenciales de cliente
ConfiguraciĆ³n recomendada
Desactive Flujo de credenciales de cliente.
DescripciĆ³n general de control
Este control implica la desactivaciĆ³n de los flujos de "Credenciales de cliente" inseguros en favor de mĆ©todos de autenticaciĆ³n basados en certificados de alta seguridad como el Flujo de soporte JWT o Aplicaciones cliente externas (ECA).
Riesgo de seguridad si no estĆ” configurado
Estos flujos a menudo se basan en un Id. de Cliente estĆ”tico y un Secreto de Cliente (y a veces contraseƱas de usuario) que actĆŗan como "secretos compartidos", que se ven fĆ”cilmente comprometidos si se codifican en secuencias de comandos o se exponen en archivos de configuraciĆ³n.
Escenarios de amenazas
Un atacante descubre un secreto de cliente codificado en un repositorio pĆŗblico de GitHub o documentaciĆ³n interna y lo utiliza para autenticarse programĆ”ticamente como una cuenta de servicio de alto privilegio, obteniendo acceso de API completo a la organizaciĆ³n.
Intervalo de puntuaje de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones de impacto de riesgo
El uso de credenciales inseguras lleva a la adquisiciĆ³n de cuentas persistente y no interactiva, permitiendo a un adversario exfiltrar cantidades masivas de datos o modificar la configuraciĆ³n del sistema sin desencadenar retos de MFA tradicionales.
Mayor riesgo cuando
Si el flujo Credenciales de cliente estĆ” asociado con un usuario asignado al perfil "Administrador del sistema" o un perfil con permisos "Modificar todos los datos".
Bajo riesgo cuando
Si la compaƱĆa implementĆ³ intervalos de direcciones IP de inicio de sesiĆ³n estrictos para el usuario de integraciĆ³n y utiliza Monitoreo de solicitudes de API en tiempo real para detectar trĆ”fico anĆ³malo de gran volumen.
Consideraciones de negocio e integraciĆ³n
La desactivaciĆ³n de estos flujos requiere la migraciĆ³n de middleware existente (por ejemplo, MuleSoft, Boomi o secuencias de comandos Python personalizadas) para utilizar flujos JWT basados en certificados, lo que implica la gestiĆ³n de certificados X.509 y la actualizaciĆ³n de la lĆ³gica del lado del cliente.
RemediaciĆ³n recomendada
Vaya a ConfiguraciĆ³n de OAuth de aplicaciĆ³n conectada, anule la selecciĆ³n de la casilla "Activar flujo de credenciales de cliente" y realice la transiciĆ³n de la integraciĆ³n para utilizar el flujo de soporte JWT con un certificado digital.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica la eliminaciĆ³n de flujos de credenciales heredados basados en contraseƱas como un paso crĆtico en la modernizaciĆ³n de la seguridad de identidad y el avance hacia una arquitectura Zero Trust para todas las integraciones de sistema a sistema.
