35,6 milyon indirme ile OAuth 2.0 protokol sağlayıcısı, ciddi aşağı akış saldırı yüzeyine sahiptir
OpenID Connect (OIDC) kimlik hizmeti Dex, bir saldırganın ele geçirilen bir yetkilendirme kodu aracılığıyla bir kimlik belirteci almasına ve potansiyel olarak istemci uygulamalarına yetkisiz erişim sağlamasına olanak tanıyan kritik bir güvenlik açığını yamaladı.
Dex, diğer uygulamalar için kimlik doğrulamasını güçlendirmek için OAuth 2.0 protokolünün üzerinde basit bir kimlik katmanı olan OIDC’yi kullanır. LDAP sunucularına, SAML sağlayıcılarına veya GitHub, Google ve Active Directory gibi kimlik sağlayıcılarına kimlik doğrulamasını ertelemesine izin vererek, ‘bağlayıcılar’ aracılığıyla diğer kimlik sağlayıcıları için bir portal görevi görür.
Cloud Native Computing Foundation’ın açık kaynaklı bir korumalı alan projesi olan Dex, 35,6 milyon kez indirildi.
rıza sorunu
Güvenlik araştırmacıları, kurbanı kötü niyetli bir web sitesine yönlendirmek için kandırabilen bir saldırganın, OAuth yetkilendirme kodunu çalabileceğini, bir belirteçle değiştirebileceğini ve ardından bu belirteci kabul eden uygulamalara erişim kazanabileceğini keşfetti. İstismar birden çok kez kullanılabilir ve saldırganın eskisinin süresi dolduğunda yeni bir belirteç almasına izin verir.
Dex’in yöneticisi Maksim Nabokikh, “Hatanın nedeni, izin sayfasının uygulanmasıdır” diyor. Günlük Swig.
“Bu sayfanın, kullanıcıları uygulama ile çok fazla profil verisi paylaşmaktan koruması gerekiyor. Bunun yerine, Dex’te bir delik oluşturdu. Dolandırıcılar bu sayfaya bir kullanıcıdan önce erişebilirse, yalnızca kullanıcının tüm verilerini çalmakla kalmaz, aynı zamanda onun kimliğine de bürünebilirler.”
Üreme adımları
Kurban, kötü amaçlı web sitesine gittiğinde, GitHub güvenlik tavsiyesine göre Dex, bağlayıcı IDP’ye bir 302 Yönlendirme döndürür. İstismar, daha sonra istek kimliği haline gelen durum parametresi değerinin kaydedilmesini içerir.
Web sitesi daha sonra kurbanın tarayıcısını, kullanıcının kimliğini doğruladığı bağlayıcı IDP’ye yönlendirir. Ve kullanıcı daha önce kimlik doğrulaması yaptıysa, kimlik doğrulama, bağlayıcı IDP’nin tarayıcıyı bir kodla Dex geri aramasına yeniden yönlendirmesiyle, herhangi bir zorluk olmadan gerçekleştirilebilir.
En son kimlik doğrulama güvenliği haberlerinin daha fazlasını okuyun
Dex daha sonra, tarayıcıyı onay uç noktasına yeniden yönlendirmeden önce, bağlayıcı IDP’den kullanıcı taleplerini alır, bunları sürdürür ve bir OAuth kodu oluşturur. Çoğaltma adımları, Dex’in OAuth kodunu aramak için istek kimliğini kullanması ve orijinal geri çağırmaya bir yönlendirme oluşturmasıyla sona erer.
CVSS derecesi 9.3 olan kusur, 2.35.0 ve önceki sürümleri etkiler ve kullanıcıların 2.35.0 sürümüne güncelleme yapmaları önerilir. Google bağlayıcı kullananlar bunun yerine 2.35.1’e yükseltmelidir.
Yama, Sigstore geliştiricileri Hayden Blauzvern, Bob Callaway ve hatanın orijinal muhabiri olan ‘joernchen’ tarafından oluşturuldu.
Düzeltme, bir saldırgan tarafından bilinemeyen ve ilk oturum açma isteği ile onay isteği arasında kalıcı olan, istek başına rastgele oluşturulmuş bir sır kullanan karma tabanlı bir ileti doğrulama (HMAC) kodunun tanıtılmasını içeriyordu.
OKUMAYI UNUTMAYIN Mesaj şifreleme güvencelerini bozan matris adres kusurları