Authentifizierungsschwachstelle in Auth0 geschlossen

Das hört sich nicht wirklich gut an: In der Auth0 Indenty-Plattform gab es eine Sicherheitslücke, die die Umgehung der Authentifizierung ermöglicht. Das betraf Millionen von Anmeldevorgängen. Inzwischen scheint die Lücke aber behoben zu sein.


Anzeige

Worum geht es bei Auth0?

Bei Auth0 handelt es sich um eine Identitätsplattform, die das Login in verschiedenen Webseiten übernehmen soll. Der Benutzer meldet sich bei der Auth0-Identitätsplattform an und erhält mit deren Authentifizierung Zugang zu weiteren Webdiensten. Dazu reicht die Auth0 Indenty-Plattform ein entsprechendes Token an die betreffenden Seiten weiter, die das als Login-Information akzeptieren.

Auth0 hat, laut The Hacker News so um die 2.000 Unternehmenskunden und wickelt täglich so um die 42 Millionen Anmeldevorgänge ab. Es ist damit eine der größten Authentifizierungs-Plattformen. Die Plattform bzw. das Angebot ist hier einsehbar. Auf Hackernoon findet sich dieses Review von September 2017.

Die Authentifizierungsschwachstelle

Bei Tests einer Anwendung entdeckten Forscher der Sicherheitsfirma Cinta Infinita im September 2017 eine Schwachstelle (CVE-2018-6873) in der Legacy Lock API von Auth0. Eine falsche Validierung des JSON Web Tokens (JWT) Audience-Parameters ermöglichte es, die Anmeldung zu umgehen. Die Login-Authentifizierung ließ sich mit einen einfachen Cross-Site Request Forgery (CSRF/XSRF)-Angriff gegen die Anwendungen, die über die Auth0-Authentifizierung laufen, umgehen.

Die CSRF-Schwachstelle von Auth0 (CVE-2018-6874) ermöglicht es einem Angreifer, ein gültiges, signiertes, für ein separates Konto generiertes JWT wiederzuverwenden. Damit ließ sich auf das Konto des betroffenen Opfers zugreifen. Für einen solchen Hack benötigte der Angreifer lediglich die Benutzer-ID oder E-Mail-Adresse des Opfers. Diese lässt sich mit einfachen Social-Engineering-Tricks ermitteln.

(Quelle: YouTube)

Dazu benötigt ein Angreifer lediglich die Benutzer-ID oder E-Mail-Adresse des Opfers, die mit einfachen Social-Engineering-Tricks ermittelt werden kann. Nach Ansicht der Forscher ist der Angriff reproduzierbar und für viele Konten nutzbar, "solange man die erwarteten Felder und Werte für die JWT kennt. In den meisten Fällen besteht kein Bedarf an Social Engineering. Die Authentifizierung für Anwendungen, die eine E-Mail-Adresse oder eine inkrementelle Ganzzahl zur Benutzeridentifizierung verwenden, würde trivial umgangen."

Die Sicherheitsforscher haben Auth0 kontaktiert, worauf diese binnen 4 Stunden reagiert und die Schwachstelle gefixt haben. Da die Auth0-Authentifizierung über einen SDK und diverse Bibliotheken auf vielen Clients implementiert war, musste der Dienst alle Kunden kontaktieren. In den SDKs (auth0.js 9 und Lock 11) ist die Schwachstelle ausgemerzt. Es dauerte 6 Monate, bis das alles gefixt war, so dass die Information erst jetzt an die Öffentlichkeit gelangte. Ein entsprechendes Advisory wurde vor einigen Tagen hier veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.