Araştırmacılar, hizmet olarak kimlik doğrulama hizmetinde Auth0'da kritik kimlik doğrulaması baypas güvenlik açığı buldular. Bu güvenlik açığı, saldırganların Auth0 hizmetinin kapladığı herhangi bir portala veya uygulamaya erişmesine izin verebilirdi.
Cinta Infinita , Medium'a “Açıklanan güvenlik açığı, kötü niyetli kullanıcıların çapraz bilgi saldırılarını Auth0 ile korunan herhangi bir portala / uygulamaya en az bilgi ile erişmelerine izin vermelerini sağlar” dedi . “Kötü niyetli bir kullanıcının saldırıyı gerçekleştirmesi için gereken tek şey, herhangi bir Auth0 hesabına idari erişimdi ve kayıt olmadığından, bu gereksinim önemsiz bir şekilde yerine getirilebiliyordu.”
Auth0 Nedir?
Auth0, sosyal medya da dahil olmak üzere sayısız platformda jeton tabanlı kimlik doğrulama çözümleri sunan bir hizmet olarak kimlik doğrulaması platformudur. Auth0, 2000'den fazla kurumsal müşteriye sahiptir ve her gün 42 milyondan fazla oturum açmayı yönetmektedir - her ay toplam milyar dolar - bu, onu internet üzerindeki en büyük kimlik doğrulama platformlarından biri haline getirmektedir.
Auth0, esasen 0Auth 2.0'dır. 0Auth, kullanıcıların parola kullanmadan web siteleri veya uygulamalar arasında erişim izni veren bir erişim delegasyonu için açık kaynaklı bir standarttır. 0Auth, 2006 yılında OpenID'yi Twitter ve Ma.gnolia API'leri ile kullanmak isteyen bir grup geliştiricinin beynine başladı. 2007 yılının Nisan ayında, bir çalışma grubu resmi olarak o yılın Aralık ayında bitirilen resmi bir şartname hazırlamaya başladı. 0Auth 2.0, 2012'de piyasaya sürüldü. Şu anda 0Auth 2.0, Google, Facebook ve Microsoft'un beğenileriyle destekleniyor.
Auth0 Baypas Güvenlik Açığı
2017 yılının Eylül ayında, Cinta Infinita araştırmacıları, bir kimlik doğrulama baypas güvenlik açığını (CVE-2018-6873) keşfettiklerinde bir uygulamada penetrasyon testi gerçekleştiriyorlardı. Hata, JSON Web Jetonu (JWT) kitle parametresinin hatalı bir şekilde doğrulanması sonucunda Auth0'nın Legacy Lock API'sinde keşfedildi.
Araştırmacılar, siteler arası talep sahteciliği kullanımıyla giriş kimlik doğrulamasını atlayabildiler. Bu güvenlik açığı, saldırganların mağdurun hesabına erişmek için başka bir hesap için oluşturulan geçerli bir imzalı JWT'yi yeniden kullanmalarına izin verir. Bu istismardan vazgeçmek için bir saldırganın ihtiyaç duyması gereken, satın alınması son derece kolay olan bir kullanıcı kimliği veya e-posta adresidir.
Per Cinta Infinita, saldırı kolayca tekrarlanabilir ve birçok kuruluşa karşı kullanılabilir:
“JWT için beklenen alanları ve değerleri bildiğimiz sürece. Gördüğümüz vakaların çoğunda sosyal mühendislik gerekmiyor. Kullanıcı kimliği için bir e-posta adresi veya artan bir tam sayı kullanan uygulamalar için kimlik doğrulaması önemsiz bir şekilde atlanacaktır. ”
Değeri için, bu istismarı Cinta Infinita için belgelendiren kişi ya sadece “önemsiz” sözcüğünü öğrendi ya da kelime içinde hisse sahibi oldu, çünkü çok fazla kullanılıyor. Yine de konuya dönersek, Cinta Infinita geçtiğimiz Ekim ayında Auth0 ekibine haber verdi ve kredilerine bir düzeltme dört saat içinde serbest bırakıldı.
Yamaun serbest bırakıldığı hız, gerçekleşen yavaş bildirim işlemiyle zayıflatıldı. Savunmasız SDK ve desteklediği kütüphaneler müşteri tarafı uygulaması olduğundan, müşterilerini bilgilendirmek ve düzeltmeye yardımcı olmak için altı ay Auth aldı.
Endişelenmeli miyim?
Tüm hesaplarda hem Auth0 hem de Cinta Infinita'nın bu güvenlik açığı giderildi. Auth0, etkilenme kütüphanelerini kapsamlı bir şekilde yeniden yazdı ve SDK'nın iki yeni sürümünü yayınladı. Cinta Infinita, parçası için, Auth0'a bir şeyleri düzeltmek için gereken zamanı veren güvenlik açığını açıklamak için altı ay bekledi.
Bu, sorumlu ifşanın nasıl çalışması gerektiğidir.
İlgilenirseniz, Cinta Infinita aşağıdaki videoda görülebilecek bir Kavram Kanıtı sunmuştur.
.png)
