Tím Auth0 opravil v knižnici JSON Web Token vysoko závažnú zraniteľnosť spojenú s neprítomnosťou kontroly na typ parametru vo funkcii jwt.verify(). Útočníci ju môžu zneužiť pre získanie prístupu k citlivým informáciám alebo možnosti vzdialene vykonávať kód.

Opis činnosti:

JSON Web Token je obľúbená open source knižnica pre bezpečný a dôveryhodný prenos údajov vo formáte JSON, štandard definovaný v RFC 7519. Využíva ju vyše 22 000 projektov vrátane niekoľkých vyvíjaných spoločnosťami Microsoft, Twilio, Salesforce, Intuit, Box, IBM, Docusign, Slack a SAP a má niekoľko miliónov stiahnutí z repozitára NPM za týždeň.

CVE-2022-23529 (CVSS v3.1 9.8/7.6)

Tím Auth0, ktorý štandard vyvíja, opravil vysoko závažnú zraniteľnosť v knižnici JSON Web Token. Chyba sa nachádza vo metóde jwt.verify() určenej na overovanie tokenov a súvisí s absenciou kontroly typu premennej parametra secretOrPublicKey. Útočník tak môže namiesto reťazca poslať špeciálne zostrojený objekt a napríklad zapísať súbor na zraniteľnom zariadení.

Útočník pre zneužitie zraniteľnosti musí najprv kompromitovať proces spravujúci kryptografické tajomstvo medzi aplikáciou a JSON Web Token serverom a overiť špeciálne vytvorený JWS token. Následne môže obchádzať autentifikáciu, získať prístup k citlivým údajom či získať schopnosť vzdialene vykonávať kód.

Zraniteľné systémy:

JSON Web Token, verzia 8.5.1 a staršie

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Únik citlivých informácií

Odporúčania:

Kde je to možné, bezodkladne implementovať knižnicu JSON Web Token aspoň verzie 9.0.0. Bezodkladne aktualizovať softvér obsahujúci knižnicu JWT podľa pokynov spoločnosti, ktorá ho vyvíja.

Odkazy:

https://www.bleepingcomputer.com/news/security/auth0-fixes-rce-flaw-in-jsonwebtoken-library-used-by-22-000-projects/

https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-cve-2022-23529/

https://github.com/advisories/GHSA-27h2-hvpr-p74q

Zdroj: csirt.gov.sk