ZITADEL IDOR 취약점으로 주요 설정 변경 가능, 계정 탈취 및 보안 우회 위험

Critical IDOR Vulnerabilities in ZITADEL Let Hackers Modify Key Settings

Critical IDOR Vulnerabilities in ZITADEL Let Hackers Modify Key Settings

 

• 개요
  • ZITADEL 관리 인터페이스에서 치명적인 IDOR(Insecure Direct Object Reference) 취약점이 발견됨
  • 취약점은 CVE-2025-27507로 등록되었으며, CVSS v3.1 기준 심각도 9.1점
  • 공격자는 비관리자 권한의 인증 사용자임에도 불구하고, 민감한 LDAP 설정 및 인스턴스 설정을 변경할 수 있음
• 주요 영향
  • LDAP 인증 설정 조작
    • /idps/ldap, /idps/ldap/{id} API를 통해 LDAP 인증 트래픽을 악성 서버로 리디렉션 가능
    • 이를 통해 사용자 자격 증명 탈취, 디렉터리 정보 접근, 전체 계정 탈취 가능
  • 설정 정보 추출
    • LDAP 서버의 계정 정보(아이디/비밀번호 등)가 API 응답에 노출되는 구조
  • 기타 인스턴스 설정 조작
    • /text/message/passwordless_registration/{language}: 다국어 메시지 변경
    • /policies/label/logo: 브랜드 로고 변경
    • /policies/label/_activate: 보안 정책 비활성화
    • 피싱 인터페이스 구성, 사용자 혼란 유발, 보안 기능 우회 가능
• 영향 범위
  • LDAP 기반 조직
    • 인증 트래픽을 탈취해 조직 전체 사용자 계정 통제 가능
    • 백엔드 디렉터리 접근권 탈취 가능
  • 비 LDAP 기반 조직
    • LDAP 경로는 비교적 안전하나, 브랜딩, 로컬라이징, 보안 정책 우회 가능
    • 소셜 엔지니어링 및 서비스 마비 유발 가능
• 기술적 원인
  • ZITADEL의 Admin API 내 12개 엔드포인트에 역할 기반 접근 제어(RBAC) 누락
  • IDOR 구조로 인해 권한 없는 사용자도 민감 기능 호출 가능
  • 인증은 요구되나 권한 검증은 미흡하여 내부 사용자 악용 가능
• 보안 권고
  • 보안 패치 배포
    • 메인 라인: v2.71.0 이상
    • 백포팅: 2.70.1, 2.69.4, 2.68.4, 2.67.8, 2.66.11, 2.65.6, 2.64.5, 2.63.8
  • 조직 대응 조치
    • 즉시 최신 버전으로 업데이트
    • LDAP 및 인스턴스 설정 변경 내역 로그 감사
    • 변경 사항에 대한 위조 탐지 자동화 필요
  • 추가 보안 권고
    • API 기반 시스템의 지속적인 권한 검증 테스트 필요
    • ID 관리 시스템에 대한 보안성 정기 진단 시행
    • 설정 변경시 다중 승인(MFA 등) 프로세스 고려
• 결론
  • ZITADEL은 ID 관리 플랫폼으로 높은 신뢰성과 보안성이 요구되는 시스템
  • 이번 IDOR 취약점은 인증 우회 없이 권한 미검증 API 접근으로 인해 광범위한 설정 조작 및 계정 탈취 가능
  • 조직은 패치 적용과 로그 감사, 보안 프로세스 점검을 통해 피해를 예방해야 하며, ID 관리 시스템에 대한 지속적 보안 테스트가 필수