Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Phát hiện lỗ hổng qua mặt cơ chế xác thực trên nền tảng Auth0
Một lỗ hổng an ninh nghiêm trọng qua mặt cơ chế xác thực trên Auth0 (một trong những nền tảng dịch vụ xác thực lớn nhất) vừa được công bố. Lỗ hổng cho phép hacker truy cập vào cổng hoặc ứng dụng bất kỳ đang sử dụng dịch vụ Auth0 để xác thực.
Auth0 cung cấp các giải pháp xác thực dựa trên token cho một số nền tảng, bao gồm cả tính năng tích hợp xác thực qua mạng xã hội vào một ứng dụng.
Sở hữu hơn 2.000 khách hàng doanh nghiệp, quản lý khoảng 42 triệu lượt đăng nhập mỗi ngày và hàng tỷ lượt đăng nhập mỗi tháng, Auth0 là một trong những nền tảng xác thực lớn nhất.
Tháng 9/2017, trong khi pentest, các chuyên gia Cinta Infinita đã phát hiện lỗ hổng CVE-2018-6873 trong API Legacy Lock của Auth0. Lỗ hổng xuất phát từ việc xác nhận không chuẩn tham số JSON Web Tokens (JWT).
Các nhà nghiên cứu đã khai thác thử thành công lỗ hổng, vượt qua xác thực đăng nhập bằng một cuộc tấn công giả mạo truy vấn cross-site đơn giản (CSRF / XSRF) nhắm vào các ứng dụng sử dụng xác thực Auth0.
Lỗ hổng CSRF của Auth0 (CVE-2018-6874) cho phép kẻ tấn công sử dụng lại một JWT đã ký hợp lệ (được tạo cho một tài khoản riêng) để truy cập vào tài khoản của nạn nhân.
Để khai thác lỗ hổng này, toàn bộ những gì hacker cần là user ID hoặc địa chỉ email của nạn nhân – những dữ liệu có thể thu được bằng phương pháp social engineering đơn giản.
Theo các chuyên gia, cuộc tấn công tương tự thử nghiệm hoàn toàn có thể xảy ra với nhiều tổ chức, “Chỉ cần biết các field và value của JWT thì hầu như còn không cần đến social engineering. Việc xác thực cho ứng dụng bằng địa chỉ email hay tham số sẽ bị bỏ qua”.
Các chuyên gia đã thông báo lỗ hổng tới Auth0 vào tháng 10/2017. Hãng này đã nhanh chóng khắc phục vấn đề trong chưa đầy 4 giờ.
Tuy nhiên, do SDK chứa lỗ hổng và các thư viện hỗ trợ của Auth0 được triển khai phía khách hàng nên Auth0 mất gần 6 tháng để liên hệ với từng khách hàng và hỗ trợ khắc phục.
“Lỗ hổng này không thể khắc phục nếu khách hàng không nâng cấp các thư viện/SDK”, nhóm nghiên cứu của Auth0 cho biết.
Hãng cũng đã viết lại các thư viện bị ảnh hưởng và phát hành các phiên bản SDK mới (auth0.js 9 và Lock 11).
Các chuyên gia đưa ra video minh họa cách thức thu thập user ID và qua mặt xác thực mật khẩu khi đăng nhập vào Managenment Dashboard của Auth0 bằng cách giả mạo một token xác thực.
Auth0 cung cấp các giải pháp xác thực dựa trên token cho một số nền tảng, bao gồm cả tính năng tích hợp xác thực qua mạng xã hội vào một ứng dụng.
Sở hữu hơn 2.000 khách hàng doanh nghiệp, quản lý khoảng 42 triệu lượt đăng nhập mỗi ngày và hàng tỷ lượt đăng nhập mỗi tháng, Auth0 là một trong những nền tảng xác thực lớn nhất.
Tháng 9/2017, trong khi pentest, các chuyên gia Cinta Infinita đã phát hiện lỗ hổng CVE-2018-6873 trong API Legacy Lock của Auth0. Lỗ hổng xuất phát từ việc xác nhận không chuẩn tham số JSON Web Tokens (JWT).
Các nhà nghiên cứu đã khai thác thử thành công lỗ hổng, vượt qua xác thực đăng nhập bằng một cuộc tấn công giả mạo truy vấn cross-site đơn giản (CSRF / XSRF) nhắm vào các ứng dụng sử dụng xác thực Auth0.
Lỗ hổng CSRF của Auth0 (CVE-2018-6874) cho phép kẻ tấn công sử dụng lại một JWT đã ký hợp lệ (được tạo cho một tài khoản riêng) để truy cập vào tài khoản của nạn nhân.
Để khai thác lỗ hổng này, toàn bộ những gì hacker cần là user ID hoặc địa chỉ email của nạn nhân – những dữ liệu có thể thu được bằng phương pháp social engineering đơn giản.
Theo các chuyên gia, cuộc tấn công tương tự thử nghiệm hoàn toàn có thể xảy ra với nhiều tổ chức, “Chỉ cần biết các field và value của JWT thì hầu như còn không cần đến social engineering. Việc xác thực cho ứng dụng bằng địa chỉ email hay tham số sẽ bị bỏ qua”.
Các chuyên gia đã thông báo lỗ hổng tới Auth0 vào tháng 10/2017. Hãng này đã nhanh chóng khắc phục vấn đề trong chưa đầy 4 giờ.
Tuy nhiên, do SDK chứa lỗ hổng và các thư viện hỗ trợ của Auth0 được triển khai phía khách hàng nên Auth0 mất gần 6 tháng để liên hệ với từng khách hàng và hỗ trợ khắc phục.
“Lỗ hổng này không thể khắc phục nếu khách hàng không nâng cấp các thư viện/SDK”, nhóm nghiên cứu của Auth0 cho biết.
Hãng cũng đã viết lại các thư viện bị ảnh hưởng và phát hành các phiên bản SDK mới (auth0.js 9 và Lock 11).
Các chuyên gia đưa ra video minh họa cách thức thu thập user ID và qua mặt xác thực mật khẩu khi đăng nhập vào Managenment Dashboard của Auth0 bằng cách giả mạo một token xác thực.
Theo The Hacker News
Chỉnh sửa lần cuối: