کشف یک آسیب‌پذیری حیاتی در بستر احراز هویت Auth0

کمیته رکن چهارم – یک آسیب پذیری حیاتیِ دور زدن احراز هویت در یکی از بزرگ ترین ارائه دهندگان احراز هویت در قالب سرویس با نام Auth0 کشف شده است. مهاجم با بهره برداری از این آسیب پذیری می تواند به هر برنامه و یا وب سایتی که برای احراز هویت از این سرویس استفاده می کند، دسترسی کامل داشته باشد.

به گزارش کمیته رکن چهارم،بستر Auth0 راه کارهای احراز هویت مبتنی بر توکن را برای بسترهایی که می توانند احراز هویت رسانه‌ ی اجتماعی را در برنامه های خود ادغام کنند، ارائه می‌دهد. این برنامه بیش از ۲ هزار مشتری سازمانی داشته و در روز، ۴۲ میلیون ورود به این سرویس ثبت می‌شود و می‌توان گفت Auth0 یکی از بزرگ‌ترین بسترهای ارائه‌دهنده‌ی سرویس احراز هویت است.

در سپتامبر سال ۲۰۱۷ میلادی وقتی محققان بر روی یک برنامه تست نفوذ انجام می‌دادند، یک آسیب‌پذیری با شناسه‌ی CVE-2018-6873 را بر روی واسط‌های برنامه‌نویسی Legacy Lock کشف کردند. این آسیب‌پذیری به این دلیل وجود دارد که بر روی پارامترهای ورودی JSON Web Tokens اعتبارسنجی درستی انجام نمی‌شود.

محققان توانستند بر روی برنامه‌هایی که از Auth0 استفاده می‌کنند، به‌راحتی حملات CSRF/XSRF انجام داده و از این آسیب‌پذیری بهره‌برداری کنند و احراز هویت را دور بزنند. آسیب‌پذیری با شناسه‌ی CVE-2018-6874 که یک اشکال CSRF است در Auth0 وجود داشته و به مهاجم اجازه می‌دهد تا از یک JWT امضاءشده، مجددا در حساب دیگری استفاده کرده و به حساب کاربری قربانی دسترسی داشته باشد. برای انجام این حمله تنها چیزی که مهاجم نیاز دارد، شناسه‌ی کاربر و یا آدرس ایمیل او است که می‌تواند به‌راحتی با روش‌های مهندسی اجتماعی بدست آورد.

محققان اعلام کردند تا زمانی‌که فیلدها و مقادیر موجود در JWT را بدانیم، این حمله را می‌توان علیه سازمان‌های مختلف بازتولید کرد. در بیشتر مواردی هم که مشاهده شده، نیازی به اجرای حملات مهندسی اجتماعی نبوده است. احراز هویت برای برنامه‌های کاربردی که از ایمیل کاربر و یا یک عدد صحیح افزایشی برای شناسایی او استفاده می‌کنند، به‌راحتی دور زده می‌شود.

این آسیب‌پذیری در اکتبر سال ۲۰۱۷ میلادی به گروه Auth0 گزارش شده است. این گروه به سرعت وارد عمل شده و در عرض ۴ ساعت آسیب‌پذیری را وصله کرده است. با این حال به دلیل اینکه SDK و کتابخانه‌های مربوطه در سمت کلاینت پیاده‌سازی شده‌اند، ۶ ماه طول کشیده تا این گروه با تمامی مشتریان تماس گرفته و به آن‌ها کمک کرده تا این اشکال را وصله کنند و بعدا این آسیب‌پذیری به‌طور عمومی افشاء شود.

این شرکت با بازنویسی کتابخانه‌ها و به‌روزرسانی SDK ها به نسخه‌های auth0.js 9 و Lock 11 این آسیب‌پذیری را برطرف کرده است. محققان پس از برطرف شدن مشکل، یک ویدئوی اثبات مفهومی را منتشر کرده و نشان دادند چگونه پس از ورود به داشبورد مدیریتی Auth0 توانستند احراز هویت مبتنی بر پسورد را دور بزنند و یک توکن احراز هویت را جعل کنند.