SOS :: Security Operation Space
19 июня, вторник, 00:00
|
Hot News:

Ошибка в сервисе Auth0 угрожала миллионам пользователей

11 апреля 2018 г., среда, 15:18

Серьезная уязвимость позволяла обойти систему аутентификации, установленную на тысячах сайтов и приложений.

В крупнейшей платформе для сквозной аутентификации Auth0 пропатчена серьезная уязвимость, которая угрожала безопасности миллионов пользователей. Проблему обнаружили и исправили еще в октябре 2017-го, однако провайдеру потребовалось почти полгода, чтобы помочь клиентам избавиться от бага.

Auth0 предоставляет частным лицам и организациям решения для идентификации пользователей. Подписчик сервиса может добавить на свой сайт или в приложение систему авторизации по логину и паролю, через аккаунты в социальных сетях или, например, по отпечатку пальца. Ежедневно платформа обслуживает около 42 млн подключений.

Уязвимость обнаружили исследователи из китайской компании Cinta Infinita. По их словам, эта брешь открывает возможность для обхода аутентификации на любом ресурсе с включенным сервисом Auth0 — для этого достаточно узнать адрес электронной почты или внутренний ID одного из пользователей (например, с помощью социальной инженерии).

Брешь CVE-2018-6873 допускала подмену токена JSON из-за некорректной идентификацию ресурса, для которого он генерится . Более того, используя CSRF-уязвимость CVE-2018-6874, валидный подписанный токен можно было повторно использовать для доступа к аккаунту намеченной жертвы.

Учитывая, что услугами платформы пользуются более 2000 организаций, а подписка начального уровня бесплатна, атака при помощи обнаруженных дефектов могла привести к катастрофическим последствиям. Под угрозой оказались публичные сайты, приложения и корпоративные системы.

Получив в октябре прошлого года информацию от Cinta Infinita, разработчики Auth0 в течение четырех часов залатали уязвимость. Однако чтобы полностью решить проблему, потребовалась установка апдейтов на стороне подписчиков сервиса. Процесс растянулся на полгода. В течение этого времени исследователи согласились не публиковать описание ошибки, чтобы не ставить под удар пользователей платформы.

Это не первая проблема с токенами аутентификации, которые использует Auth0. Пару лет назад канадский исследователь Тим Маклин (Tim McLean) предупреждал о возможности взлома криптоключа в сторонних JWT-библиотеках. Специалист обнаружил, что в некоторых случаях зашифрованная подпись может обрабатываться сервисом-получателем как открытая, что открывает возможность для компрометации регистрационных данных.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
17:33
14:28
07:30
06:30
16:04
15:55
15:27
15:02
14:23
12:41
11:31
11:31
02:42
14:59
14:51
14:50
13:37
02:58


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.101
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.