Auth0身份验证平台中发现身份验证绕过漏洞

最大的网络身份验证平台Auth0中发现了一个严重身份验证绕过漏洞，该漏洞可能允许恶意攻击者访问任何使用Auth0服务进行身份验证的门户或应用程序。

Auth0为许多平台提供基于令牌的身份验证解决方案，包括将社交媒体身份验证集成到应用程序中的能力。

拥有超过2000家企业客户，每天管理4200万登录信息和每月数十亿次登录，Auth0是最大的身份平台之一。

2017年9月，安全公司Cinta Infinita的研究人员在验证应用程序时发现Auth0的Legacy Lock API中存在一个漏洞（CVE-2018-6873），该漏洞由于对JSON Web Tokens（JWT）受众参数的不正确验证而存在。

研究人员成功利用此问题绕过Auth0身份验证运行的应用程序使用简单的跨站点请求伪造（CSRF / XSRF）攻击绕过登录身份验证。

Auth0的CSRF漏洞（CVE-2018-6874）允许攻击者重新使用为单独帐户生成的有效签名JWT访问目标受害者的帐户。

为此，攻击者需要的是受害者的用户ID或电子邮件地址，可以使用简单的社会工程技巧获得。

据研究人员称，这种攻击对于许多组织来说是可重现的，“只要我们知道JWT的预期领域和价值，在我们看到的大多数案例中就没有必要进行社会工程了。地址或用于用户标识的递增整数将被平分绕过。

该安全公司在2017年10月报告了Auth0安全小组的漏洞。该公司行事非常迅速，并在不到4个小时内解决了这一弱点。

但是，由于脆弱的SDK和支持的Auth0库已经在客户端实现，所以Auth0在公开披露此问题之前花费了近6个月的时间联系每位客户并帮助他们修复此漏洞。

“与Cinta Infinita发现的特殊案例的修复不同，这个问题不能在不强迫我们的客户升级库/ SDK的情况下完成，这是一项更重要的任务，”Auth0团队在其咨询中表示。

该公司通过大量重写受影响的库并发布其新版本的SDK（auth0.js 9和Lock 11）来减轻漏洞。

Cinta Infinita在公开披露漏洞之前还等了六个月，Auth0团队也有足够的时间更新所有私有SaaS设备（内部部署）。

该安全公司现已发布了概念验证（PoC）视频，演示了如何通过伪造身份验证令牌登录到Auth0的管理仪表板时获得受害者的用户ID并绕过密码验证。

原文：https://thehackernews.com/2018/04/auth0-authentication-bypass.html