Usted estĆ” aquĆ:
HabilitaciĆ³n de flujo de OAuth: Desactivar el control de flujo de credenciales de cliente
Esta configuraciĆ³n de seguridad desactiva el tipo de otorgamiento de OAuth 2.0 que permite a una aplicaciĆ³n autenticar y acceder a datos utilizando solo sus propias credenciales sin ninguna intervenciĆ³n o presencia del usuario.
Nombre de control
Aplicaciones cliente externas: HabilitaciĆ³n de flujo de OAuth: Desactivar flujo de credenciales de cliente
ConfiguraciĆ³n recomendada
Desactive Flujo de credenciales de cliente.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad desactiva el tipo de otorgamiento de OAuth 2.0 que permite a una aplicaciĆ³n autenticar y acceder a datos utilizando solo sus propias credenciales sin ninguna intervenciĆ³n o presencia del usuario.
Riesgo de seguridad si no estĆ” configurado
Cuando se activa este flujo, el compromiso de un Ćŗnico conjunto de credenciales de cliente otorga a un atacante acceso autĆ³nomo y persistente a los datos de toda la organizaciĆ³n a un alto nivel de privilegios, omitiendo completamente la autenticaciĆ³n de mĆŗltiples factores.
Escenarios de amenazas
Un actor malintencionado obtiene acceso a un secreto de cliente de texto sin formato almacenado en un archivo de configuraciĆ³n y lo utiliza para exfiltrar programĆ”ticamente registros confidenciales a travĆ©s de un proceso en segundo plano que nunca caduca.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
Permitir la autenticaciĆ³n de mĆ”quina a mĆ”quina desatendida aumenta la probabilidad de violaciones de datos a largo plazo porque el acceso permanece activo incluso si se cambian contraseƱas de usuario individuales o se desactivan cuentas.
Mayor riesgo cuando
Si se otorgaron permisos administrativos al usuario de integraciĆ³n asociado o la capacidad de modificar todos los datos entre mĆŗltiples objetos.
Bajo riesgo cuando
Si la compaƱĆa aplica un filtrado de direcciones IP estricto para la integraciĆ³n especĆfica y utiliza certificados en vez de secretos compartidos para el protocolo de autenticaciĆ³n.
Consideraciones de negocio e integraciĆ³n
La desactivaciĆ³n de este flujo interrumpirĆ” inmediatamente cualquier integraciĆ³n de back-end automatizada, sincronizaciones de datos programadas o aplicaciones del lado del servidor que no admiten un proceso de autorizaciĆ³n dirigido por el usuario.
RemediaciĆ³n recomendada
Vaya a la configuraciĆ³n de OAuth de la aplicaciĆ³n cliente externa y asegĆŗrese de que la casilla de verificaciĆ³n para el flujo de credenciales de cliente no estĆ” seleccionada.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica la eliminaciĆ³n de credenciales estĆ”ticas desatendidas como un paso obligatorio en una estrategia de defensa en profundidad, favoreciendo mĆ©todos de autenticaciĆ³n interactivos o basados en certificados que proporcionan visibilidad superior y verificaciĆ³n continua.
