Usted estĆ” aquĆ:
ActivaciĆ³n de flujo de OAuth: Desactivar el control de flujo de credenciales de cliente
Esta configuraciĆ³n de seguridad desactiva el tipo de otorgamiento de OAuth 2.0 que permite a una aplicaciĆ³n autenticar y acceder a datos utilizando solo sus propias credenciales sin ninguna intervenciĆ³n o presencia del usuario.
Nombre de control
Aplicaciones cliente externas: ActivaciĆ³n de flujo de OAuth: Desactivar flujo de credenciales de cliente
ConfiguraciĆ³n recomendada
Desactive Flujo de credenciales de cliente.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad desactiva el tipo de otorgamiento de OAuth 2.0 que permite a una aplicaciĆ³n autenticar y acceder a datos utilizando solo sus propias credenciales sin ninguna intervenciĆ³n o presencia del usuario.
Riesgo de seguridad si no estĆ” configurado
Cuando se activa este flujo, el compromiso de un Ćŗnico conjunto de credenciales de cliente otorga a un atacante acceso persistente y autĆ³nomo a los datos de toda la organizaciĆ³n en un alto nivel de privilegios, omitiendo completamente la autenticaciĆ³n de mĆŗltiples factores.
Escenarios de amenazas
Un actor malicioso obtiene acceso a un secreto de cliente de texto sin formato almacenado en un archivo de configuraciĆ³n y lo utiliza para exfiltrar de forma programĆ”tica registros confidenciales a travĆ©s de un proceso en segundo plano que nunca caduca.
Intervalo de puntuaciĆ³n de CVSS estimado
Alto (7,0ā8,9).
Consideraciones sobre el impacto del riesgo
Permitir la autenticaciĆ³n de mĆ”quina a mĆ”quina desatendida aumenta la probabilidad de brechas de datos a largo plazo porque el acceso permanece activo incluso si se cambian contraseƱas de usuario individuales o se desactivan cuentas.
Riesgo mƔs alto cuando
Si se han otorgado permisos administrativos al usuario de integraciĆ³n asociado o la capacidad de modificar todos los datos entre mĆŗltiples objetos.
Bajo riesgo cuando
Si la empresa aplica un filtrado estricto de direcciones IP para la integraciĆ³n especĆfica y utiliza certificados en vez de secretos compartidos para el apretĆ³n de manos de autenticaciĆ³n.
Consideraciones comerciales y de integraciĆ³n
La desactivaciĆ³n de este flujo interrumpirĆ” inmediatamente cualquier integraciĆ³n de back-end automatizada, sincronizaciones de datos programadas o aplicaciones del lado del servidor que no admiten un proceso de autorizaciĆ³n dirigido por el usuario.
RemediaciĆ³n recomendada
Vaya a la configuraciĆ³n de OAuth de la aplicaciĆ³n cliente externa y asegĆŗrese de que la casilla de verificaciĆ³n para el flujo de credenciales de cliente estĆ” anulada.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica la eliminaciĆ³n de credenciales estĆ”ticas desatendidas como un paso obligatorio en una estrategia de defensa en profundidad, favoreciendo mĆ©todos de autenticaciĆ³n interactivos o basados en certificados que proporcionan visibilidad superior y verificaciĆ³n continua.
