Tím Auth0 opravil v knižnici JSON Web Token vysoko závažnú zraniteľnosť spojenú s neprítomnosťou kontroly na typ parametru vo funkcii jwt.verify(). Útočníci ju môžu zneužiť pre získanie prístupu k citlivým informáciám alebo možnosti vzdialene vykonávať kód.
Opis činnosti:
JSON Web Token je obľúbená open source knižnica pre bezpečný a dôveryhodný prenos údajov vo formáte JSON, štandard definovaný v RFC 7519. Využíva ju vyše 22 000 projektov vrátane niekoľkých vyvíjaných spoločnosťami Microsoft, Twilio, Salesforce, Intuit, Box, IBM, Docusign, Slack a SAP a má niekoľko miliónov stiahnutí z repozitára NPM za týždeň.
CVE-2022-23529 (CVSS v3.1 9.8/7.6)
Tím Auth0, ktorý štandard vyvíja, opravil vysoko závažnú zraniteľnosť v knižnici JSON Web Token. Chyba sa nachádza vo metóde jwt.verify() určenej na overovanie tokenov a súvisí s absenciou kontroly typu premennej parametra secretOrPublicKey. Útočník tak môže namiesto reťazca poslať špeciálne zostrojený objekt a napríklad zapísať súbor na zraniteľnom zariadení.
Útočník pre zneužitie zraniteľnosti musí najprv kompromitovať proces spravujúci kryptografické tajomstvo medzi aplikáciou a JSON Web Token serverom a overiť špeciálne vytvorený JWS token. Následne môže obchádzať autentifikáciu, získať prístup k citlivým údajom či získať schopnosť vzdialene vykonávať kód.
Zraniteľné systémy:
JSON Web Token, verzia 8.5.1 a staršie
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vzdialené vykonávanie kódu
- Únik citlivých informácií
Odporúčania:
Kde je to možné, bezodkladne implementovať knižnicu JSON Web Token aspoň verzie 9.0.0. Bezodkladne aktualizovať softvér obsahujúci knižnicu JWT podľa pokynov spoločnosti, ktorá ho vyvíja.
Odkazy:
https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-cve-2022-23529/
https://github.com/advisories/GHSA-27h2-hvpr-p74q
Zdroj: csirt.gov.sk