Uma vulnerabilidade crítica bypass de autenticação foi identificada numa das maiores plataformas de identidade federada, o Auth0, e que permitia aos hackers aceder a qualquer serviço ou portal que estivesse a usar o Auth0 para autenticação federada.

O Auth0 fornece uma soluçã de autenticação baseada em token, incluindo a capacidade de integrar a autenticação de redes sociais e corporações (Google, Facebook, Linkedin, Twitter, etc) num serviço ou portal online.

Com mais de 2.000 clientes corporativos e a manipular 42 milhões de logins todos os dias e bilhões de login por mês, o Auth0 é uma das maiores plataformas de identidade no mercado.

Durante o teste de penetração a uma aplicação em setembro de 2017, investigadores da empresa de segurança Cinta Infinita descobriram uma falha (CVE-2018-6873) na API Legacy Lock do Auth0, e que consiste na validação inadequada do parâmetro JSON Web Tokens (JWT).

auth0-authentication-vulnerability

 

Os investigadores exploraram com sucesso essa falha de forma a ignorar a autenticação de login utilizando um ataque de cross-site request forgery  (CSRF / XSRF) nas aplicações que utilizavam o Auth0 como elo de ligação na validação de identidade.

A vulnerabilidade CSRF do Auth0 (CVE-2018-6874) permite a um hacker reutilizar um JWT gerado anteriormente para uma outra conta, e com isso, aceder à conta da vítima.

Tudo o que um hacker precisa são o ID do utilizador ou o endereço de e-mail, e que pode ser obtidos muito facilmente utilizando p.ex.,  técnicas simples de engenharia social.

 

De acordo com os investigadores, este ataque pode ser reproduzido em muitas organizações e serviços, uma vez que “we know the expected fields and values for the JWT. There is no need of social engineering in most of the cases we saw. Authentication for applications that use an email address or an incremental integer for user identification would be trivially bypassed.

A empresa de segurança comunicou a vulnerabilidade à equipa de segurança do Auth0 em outubro de 2017. A empresa reagiu com muita rapidez e solucionou a vulnerabilidade em menos de quatro horas.

No entanto, como o SDK vulnerável e as bibliotecas suportadas do Auth0 estavam implementadas no lado do cliente, foram necessários quase seis meses para que o Auth0 entrasse em contato com cada um de seus clientes e ajudá-los a corrigir esta vulnerabilidade antes de divulgar publicamente o problema.

“Unlike the fix for the special case discovered by Cinta Infinita, this issue could not be solved without forcing our customers to upgrade the libraries/SDKs on their end, a much more significant undertaking,” the Auth0 team said in its advisory.

 

A empresa atenuou as vulnerabilidades reescrevendo extensivamente as bibliotecas afetadas e lançando novas versões dos SDKs (auth0.js 9 e Lock 11).

A Cinta Infinita esperou seis meses antes de divulgar publicamente a vulnerabilidade, dando à equipa da Auth0 o tempo suficiente para atualizar todos os Private SaaS Appliances.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *