Auth0 Kimlik Platformunda Bulunan Güvenlik Açığı

Kimlik doğrulaması için Auth0 hizmetini kullanan herhangi bir portala veya uygulamaya erişmek için kötü niyetli bir saldırganın erişmesine izin verebilecek en büyük hizmet olarak Auth0 hizmeti kimliği Auth0’da kritik kimlik doğrulaması baypas güvenlik açığı keşfedilmiştir .

Auth0, sosyal medya kimlik doğrulamasını bir uygulamaya entegre etme yeteneği dahil olmak üzere bir dizi platform için jeton tabanlı kimlik doğrulama çözümleri sunar.

2000’den fazla kurumsal müşteri ve her gün 42 milyon oturum açma ve ayda milyarlarca oturum açma yönetimi ile Auth0, en büyük kimlik platformlarından biridir.

Geri Eylül 2017 yılında bir uygulamayı pentesting ederken, güvenlik firması Cinta Infinita araştırmacıları keşfedilen bir kusur ( CVE-2018-6873 Auth0 en cinsinden) Legacy Kilit API nedeniyle JSON Web Simgeleri (JWT) seyirci parametresinin hatalı doğrulanması bulunduğu, Araştırmacılar, Auth0 kimlik doğrulaması üzerinden çalışan uygulamalara yönelik basit bir siteler arası talep sahteciliği (CSRF / XSRF) saldırısı kullanarak oturum açma kimlik doğrulamasını atlamak için bu sorunu başarıyla değerlendirdiler.

Auth0’ın CSRF güvenlik açığı ( CVE-2018-6874 ), saldırganın hedeflenen kurbanın hesabına erişmek için ayrı bir hesap için oluşturulan geçerli bir imzalanmış JWT’yi yeniden kullanmasına izin verir.

Bunun için bir saldırganın tüm ihtiyaçları, kurbanın kullanıcı kimliği veya e-posta adresidir ve bunlar basit sosyal mühendislik püf noktaları kullanılarak elde edilebilir.

Saldırının Video Gösterimi

[youtube https://www.youtube.com/watch?v=9E7kfdGN1eY&w=560&h=315]

Araştırmacılara göre, saldırı pek çok kuruluşa karşı tekrarlanabilir, “JWT için beklenen alanları ve değerleri bildiğimiz sürece. Gördüğümüz çoğu durumda sosyal mühendislik gerekmiyor. E-posta kullanan uygulamaların kimlik doğrulaması Kullanıcı kimliği için adres veya artımlı bir tamsayı önemsiz bir şekilde atlanacaktır. “

Güvenlik firması Ekim 2017’de Auth0 Güvenlik Ekibinin güvenlik açığını bildirdi. Şirket çok hızlı hareket etti ve zayıflığı 4 saatten az bir sürede ele aldı. Bununla birlikte, savunmasız SDK ve Auth0’ın desteklenen kütüphaneleri müşteri tarafında uygulandığından, Auth0, bu müşteriyi kamuya açıklamadan önce müşterilerinin her biri ile iletişim kurmak ve bu açıkları düzeltmelerine yardımcı olmak için yaklaşık altı ay sürdü.

Auth0 ekibi danışmanlığında yaptığı açıklamada, “Cinta Infinita tarafından keşfedilen özel durumun düzeltilmesinden farklı olarak, bu sorun, müşterilerimizi kütüphaneleri / SDK’ları sona erdirmeye zorlamadan çözülemedi, çok daha önemli bir girişim” dedi .
Şirket, etkilenen kütüphaneleri kapsamlı bir şekilde yeniden yazarak ve SDK’larının yeni sürümlerini yayınlayarak (auth0.js 9 ve Kilit 11) güvenlik açıklarını hafifletti.

Cinta Infinita ayrıca, Auth0 ekibine tüm Private SaaS Appliances’larını (şirket içi) de güncellemek için yeterli zaman tanıyarak, açıkları kamuya açıklanmadan altı ay önce bekledi.

Güvenlik firması, bir kimlik doğrulama belirteci hazırlayarak, Auth0 Yönetim Panosuna giriş yaparken, mağdurun kullanıcı kimliğini nasıl aldıklarını ve parola kimlik doğrulamasını baypas ettiğini gösteren bir güvenlik kanıtı (PoC) video yayınladı.