Auth0身份驗證平臺中發現身份驗證繞過漏洞
責編:mhshi |2018-04-08 13:22:57最大的網絡身份驗證平臺Auth0中發現了一個嚴重身份驗證繞過漏洞,該漏洞可能允許惡意攻擊者訪問任何使用Auth0服務進行身份驗證的門戶或應用程序。
Auth0為許多平臺提供基于令牌的身份驗證解決方案,包括將社交媒體身份驗證集成到應用程序中的能力。
擁有超過2000家企業客戶,每天管理4200萬登錄信息和每月數十億次登錄,Auth0是最大的身份平臺之一。
2017年9月,安全公司Cinta Infinita的研究人員在驗證應用程序時發現Auth0的Legacy Lock API中存在一個漏洞(CVE-2018-6873),該漏洞由于對JSON Web Tokens(JWT)受眾參數的不正確驗證而存在。
研究人員成功利用此問題繞過Auth0身份驗證運行的應用程序使用簡單的跨站點請求偽造(CSRF / XSRF)攻擊繞過登錄身份驗證。
Auth0的CSRF漏洞(CVE-2018-6874)允許攻擊者重新使用為單獨帳戶生成的有效簽名JWT訪問目標受害者的帳戶。
為此,攻擊者需要的是受害者的用戶ID或電子郵件地址,可以使用簡單的社會工程技巧獲得。
據研究人員稱,這種攻擊對于許多組織來說是可重現的,“只要我們知道JWT的預期領域和價值,在我們看到的大多數案例中就沒有必要進行社會工程了。地址或用于用戶標識的遞增整數將被平分繞過。
該安全公司在2017年10月報告了Auth0安全小組的漏洞。該公司行事非常迅速,并在不到4個小時內解決了這一弱點。
但是,由于脆弱的SDK和支持的Auth0庫已經在客戶端實現,所以Auth0在公開披露此問題之前花費了近6個月的時間聯系每位客戶并幫助他們修復此漏洞。
“與Cinta Infinita發現的特殊案例的修復不同,這個問題不能在不強迫我們的客戶升級庫/ SDK的情況下完成,這是一項更重要的任務,”Auth0團隊在其咨詢中表示。
該公司通過大量重寫受影響的庫并發布其新版本的SDK(auth0.js 9和Lock 11)來減輕漏洞。
Cinta Infinita在公開披露漏洞之前還等了六個月,Auth0團隊也有足夠的時間更新所有私有SaaS設備(內部部署)。
該安全公司現已發布了概念驗證(PoC)視頻,演示了如何通過偽造身份驗證令牌登錄到Auth0的管理儀表板時獲得受害者的用戶ID并繞過密碼驗證。
原文:https://thehackernews.com/2018/04/auth0-authentication-bypass.html