最大的网络身份验证平台Auth0中发现了一个严重身份验证绕过漏洞,该漏洞可能允许恶意攻击者访问任何使用Auth0服务进行身份验证的门户或应用程序。
Auth0为许多平台提供基于令牌的身份验证解决方案,包括将社交媒体身份验证集成到应用程序中的能力。
拥有超过2000家企业客户,每天管理4200万登录信息和每月数十亿次登录,Auth0是最大的身份平台之一。
2017年9月,安全公司Cinta Infinita的研究人员在验证应用程序时发现Auth0的Legacy Lock API中存在一个漏洞(CVE-2018-6873),该漏洞由于对JSON Web Tokens(JWT)受众参数的不正确验证而存在。
研究人员成功利用此问题绕过Auth0身份验证运行的应用程序使用简单的跨站点请求伪造(CSRF / XSRF)攻击绕过登录身份验证。
Auth0的CSRF漏洞(CVE-2018-6874)允许攻击者重新使用为单独帐户生成的有效签名JWT访问目标受害者的帐户。
为此,攻击者需要的是受害者的用户ID或电子邮件地址,可以使用简单的社会工程技巧获得。
据研究人员称,这种攻击对于许多组织来说是可重现的,“只要我们知道JWT的预期领域和价值,在我们看到的大多数案例中就没有必要进行社会工程了。地址或用于用户标识的递增整数将被平分绕过。
该安全公司在2017年10月报告了Auth0安全小组的漏洞。该公司行事非常迅速,并在不到4个小时内解决了这一弱点。
但是,由于脆弱的SDK和支持的Auth0库已经在客户端实现,所以Auth0在公开披露此问题之前花费了近6个月的时间联系每位客户并帮助他们修复此漏洞。
“与Cinta Infinita发现的特殊案例的修复不同,这个问题不能在不强迫我们的客户升级库/ SDK的情况下完成,这是一项更重要的任务,”Auth0团队在其咨询中表示。
该公司通过大量重写受影响的库并发布其新版本的SDK(auth0.js 9和Lock 11)来减轻漏洞。
Cinta Infinita在公开披露漏洞之前还等了六个月,Auth0团队也有足够的时间更新所有私有SaaS设备(内部部署)。
该安全公司现已发布了概念验证(PoC)视频,演示了如何通过伪造身份验证令牌登录到Auth0的管理仪表板时获得受害者的用户ID并绕过密码验证。
原文:https://thehackernews.com/2018/04/auth0-authentication-bypass.html