"
Uma vulnerabilidade de bypass de autenticação crítica foi descoberta em uma das maiores plataformas de identidade como serviço Auth0 que poderia ter permitido que um invasor mal-intencionado acessassequalquer portal ou aplicativo que estivesse usando o serviço Auth0 para autenticação.
O Auth0 oferece soluções de autenticação baseadas em token para várias plataformas, incluindo a capacidade de integrar a autenticação de mídia social em um aplicativo.
Com mais de 2.000 clientes corporativos e gerenciando 42 milhões de logins todos os dias e bilhões de login por mês, o Auth0 é uma das maiores plataformas de identidade.
Enquanto recolocam um aplicativo em setembro de 2017, pesquisadores da empresa de segurança Cinta Infinita descobriram uma falha ( CVE-2018-6873 ) na API Legacy Lock do Auth0 , que reside devido à validação inadequada do parâmetro de audiência JSON Web Tokens (JWT).
Os pesquisadores exploraram com êxito esse problema para ignorar a autenticação de login usando um ataque simples de falsificação de solicitação entre sites (CSRF / XSRF) contra os aplicativos executados na autenticação Auth0.
A vulnerabilidade CSRF do Auth0 ( CVE-2018-6874 ) permite que um invasor reutilize um JWT assinado e válido gerado para uma conta separada para acessar a conta da vítima visada.
Para isso, todas as necessidades de um atacante são o ID do usuário ou endereço de e-mail da vítima, que pode ser obtido usando truques simples de engenharia social.
Vídeo Demonstração do Ataque
De acordo com os pesquisadores, o ataque é reproduzível contra muitas organizações, "desde que saibamos os campos e valores esperados para o JWT. Não há necessidade de engenharia social na maioria dos casos que vimos. Autenticação para aplicativos que usam um e-mail endereço ou um número inteiro incremental para a identificação do usuário seria trivialmente ignorado. "A empresa de segurança relatou a vulnerabilidade à equipe de segurança Auth0 em outubro de 2017. A empresa agiu com muita rapidez e solucionou a fraqueza em menos de quatro horas.
No entanto, como o SDK vulnerável e as bibliotecas suportadas do Auth0 foram implementadas no lado do cliente, o Auth0 levou quase seis meses para entrar em contato com cada um de seus clientes e ajudá-los a corrigir essa vulnerabilidade antes de divulgar publicamente esse problema.
"Ao contrário da correção para o caso especial descoberto pela Cinta Infinita, esse problema não poderia ser resolvido sem forçar nossos clientes a atualizar as bibliotecas / SDKs, uma tarefa muito mais significativa", disse a equipe da Auth0 em seu comunicado .A empresa atenuou as vulnerabilidades reescrevendo extensivamente as bibliotecas afetadas e lançando novas versões de seus SDKs (auth0.js 9 e Lock 11).
A Cinta Infinita também esperou seis meses antes de divulgar publicamente a vulnerabilidade, dando à equipe da Auth0 tempo suficiente para atualizar todos os seus Appliances SaaS Particulares (no local) também.
A empresa de segurança já lançou um vídeo de prova de conceito (PoC), demonstrando como eles obtiveram o ID do usuário da vítima e ignoram a autenticação de senha ao fazer login no Management Dashboard do Auth0 forjando um token de autenticação.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário