导语:Imperva的研究人员与6月5号发现,Auth0的子域名容易受到安全问题的影响,从而导致攻击者发起网络钓鱼攻击,盗取用户登录凭据,甚至可能发起密码攻击。

js_rsmwr.png

最近,研究人员又发现了Auth0的身份认证服务存在潜在的漏洞,这可能会让攻击者伪装成合法网站并收集访问者的敏感信息。

Imperva的研究人员与6月5号发现,Auth0的子域名容易受到安全问题的影响,从而导致攻击者发起网络钓鱼攻击,盗取用户登录凭据,甚至可能发起密码攻击。

Auth0平台的安全性分析

Auth0公司成立于2013年,总部位于美国华盛顿州的贝尔维尤市。拥有2000多家企业用户、每天管理超过15亿次的登录验证,是最大的身份平台之一。Auth0可以让用户忽略底层基础设施,为移动、网络、本地等应用提供身份验证、授权及单点登录(SSO)功能。Auth0可以在任何地方运行,包括公有云、私有云以及on–prem (预置型存储)等。

不过就是这么一个基础平台,也在今年被曝出存在严重的身份验证绕过漏洞。该漏洞(CVE-2018-6873)源于Auth0的Legacy Lock API没有对JSON Web Tokens(JWT)的参数做合理的验证,随后可以触发一个CSRF/SXRF漏洞(CVE-2018-6874)。攻击者仅需要知道用户的user ID或者email地址,就可以登录该用户任何使用Auth0验证的应用。

Auth0平台对本次所发现的安全问题的回应

Imperva的研究发表后,Auth0一开始是否认和质疑Imperva的研究成果,并对其中的研究错误进行了回击。而Imperva在6月6号将该研究成果发布两个小时后就删除了,不过在当天晚些时候又将其重新发布到网站上,内容和原来一样。后来,Imperva在6月8号,又将其删除,几小时后又发布而且内容也没有变。不过,这一次Imperva发布了以下声明,解释了为什么该研究报告会被多次删除和发布。

声明如下:

6月6日,Auth0向我们通报了他们对该研究报告的担忧。出于对Auth0的尊重,我们在考虑到他们的顾虑时删除了这个报告。不过经过仔细考虑后,我们还是把原来的文章进行了发布。因为我们不同意Auth0的评论,即我们的研究成果不准确。这份Imperva的研究是关于很一般的网络钓鱼尝试的研究。正如文章中指出的那样,我们只是假设了某种意外使用的情况,以及攻击者如何在此种情况下执行网络钓鱼技术来窃取凭据,我们的研究观点就是帮助客户和读者保护自己免受网络犯罪分子的攻击。

对此,CISO和Auth0运营副总裁Joan Pepin周三在一封电子邮件中告诉Threatpost,除了Auth0之外,还有成千上万种方法对任何公司进行同样的网络钓鱼尝试:

虽然Imperva认为Auth0是安全领域的领导者,并且为了研究的目的而将我们挑选出来,但像这样的社会工程可以以无数方式执行,特别是当有人选择利用我们平台的可扩展性和灵活性时。而我们的平台显然没有此种攻击方式可以利用,例如使用自定义域。

Imperva的研究员Daniel Svartman表示,Imperva是在考虑将Auth0作为其产品的认证机制之一,因此他才对该服务进行一些研究。在此过程中,他发现服务的子域名注册存在潜在的安全问题。

Imperva的研究员Daniel Svartman还表示:

实质上,攻击者可以使用来自不同地区的子域名欺骗一个合法的网站。由于攻击很难识别,并可能导致网站的访问者没有意识到的钓鱼攻击,并将敏感信息泄漏。

安全问题的发现过程

Auth0有三个不同的子域名,分别是: 

· Auth0.com,它负责来自美洲的网站的登录任务;

· Eu.Auth0.com,它负责来自欧盟的网站的登录任务;

· AU.Auth0.com,它负责来自亚太地区的网站的登录任务。

每个子域都是互相完全独立工作的,这意味着如果A公司只在Auth0.com下注册了一个域名,而没有在Eu.Auth0.com/AU.Auth0.com下注册同样的域名,那么其他人可以注册同样的域名。 

这意味着不良行为者可能会注册在不同位置的域名下,声称是存在于另一域名位置的合法产品网站。

为了验证这一点,Svartman亲自在eu.auth0.com和au.auth0.com网站上注册了一个域名,该域名与其好友在auth0.com注册的一个真实域名一样,只是名称略有不同。

更糟糕的是,Auth0还为用户提供了在其eu.auth0.com和au.auth0.com网站上自定义“登录”和“忘记密码”页面的灵活性。

Svartman说:

这种灵活性包括在自定义页面中编写或嵌入JavaScript代码的能力。

由于这个特点,Svartman表示他可以为虚假网站创建与其真实对应网站相同的登录页面。但是也可以在登录页内编写JavaScript代码,收集用户的凭证(用户名和密码),然后将它们通过异步JavaScript和XML(AJAX)发送给攻击者,然后将用户重定向到真正的登录页面,对其进行身份验证。

Svartman说:

“这一步相当简单,任何一个有一定技术的黑客都可以在很短的时间内完成。” 

所造成的危害

Auth0平台目前已在70多个国家被使用,拥有约2000家企业客户,Auth0公司宣称Auth0平台每天负责4200万次的登录。所以在用于单点登录(SSO)的产品中编写JavaScript代码,其造成的灾难性后果可想而知,特别是像对Target和Home Depot等Auth0的大客户的攻击。

Svartman表示:

让我们想想以前对Target和Home Depot等大公司的攻击,就知道危害有多大了。这些公司非常依赖Auth0的服务,因为Auth0提供了满意的系统管理服务。不过,黑客要是对这些客户进行下手,通过他们再来攻击Auth0,那将是轻而易举的事情。因为,黑客针对大型零售商的电脑系统的攻击事件,在这几年层出不穷。更主要的原因是,Target和Home Depot等大公司的网络安全,是完全依赖别人的。想象一下,如果他们使用缺乏基本安全控制的SSO平台,那后果将怎样?

而Auth0则表示他们不能禁用Javascript的编码功能,因为它是客户登录页面的一项基本功能,但他们正在努力缓解在不同地区注册相同域名的潜在风险。Auth0还表示,他们还提供了额外的安全检查,如密码泄露和异常检测。

源链接

Hacking more

...