Now Reading
JsonWebToken Security Programmierfehler öffnet Server zum Besten von RCE

JsonWebToken Security Programmierfehler öffnet Server zum Besten von RCE

JsonWebToken Security Bug öffnet Server für RCE


Im beliebten Open-Source-Verschlüsselungsprojekt JsonWebToken (JWT) wurde eine Sicherheitslücke mit hohem Schweregrad (CVE-2022-23529) entdeckt, die von Angreifern verwendet werden könnte, um Remote Identifikator Execution (RCE) uff einem Zielverschlüsselungsserver zu glücken.

Jener offene JWT-Standard definiert eine Methode zur sicheren Übertragung von Informationen durch Kodierung und Signierung von JSON-Fakten. Laut Forschern welcher Unit 42 von Palo Alto Networks führt ein Exploit zum Besten von die Schwachstelle dazu, dass welcher Server eine in böswilliger Intention erstellte JSON-Web-Token-Forderung überprüft.

„Dies Ausrollen von bösartigem Identifikator uff einem Server kann zu einem enormen Schaden und Verlust welcher Vertraulichkeit und Unbescholtenheit zur Folge haben und nebensächlich verdongeln Denial-of-Tafelgeschirr verursachen“, warnt Artur Oleyarsh, Sicherheitsforscher von Unit 42. “Systeme, die mit dem anfälligen Server in Verkettung stillstehen und mit ihm kommunizieren, können ebenfalls leiden, von dort sind dies Angriffspotenzial und die Gehorchen erheblich, wenn dies System zum Besten von eine Remote-Identifikator-Offenlegung vulnerabel ist.”

Dies Problem stellt eine Gefahr zum Besten von leer dar, die JWT-Versionen vor und einschließlich v8.5.1 verwenden. Laut einem Mitgliedsbeitrag von Unit 42 vom 9. Januar ist die gepatchte Version des Pakets v9.0.0.

Oleyarsh erklärt, dass Schwachstellen im Zusammenhang mit JSON-Web-Token normalerweise mit verschiedenen Token-Fälschungstechniken zusammenhängen, die es einem böswilligen Darsteller zuteil werden lassen, Authentifizierungs- und Autorisierungsmechanismen zu umgehen.

„Dies gibt ihnen [the] Möglichkeit, Konten zu übernehmen, sich qua Benutzer auszugeben und Berechtigungen zu steigern“, sagt er. „Ebendiese neueste Schwachstelle ist jedoch mehrgründig einzigartig. Erstens sprechen wir hier jenseits die Offenlegung von Identifikator uff einem Host, welcher JSON-Web-Token verifiziert.”

Unter welcher Kapuze von CVE-2022-23529

Anstatt Authentifizierungs- oder Autorisierungsmechanismen zu umgehen, bietet welcher Fehler einem Cyberangreifer die Möglichkeit, die Leistungsnachweis jenseits verdongeln Schlüsselabrufparameter welcher Unterprogramm „jwt.verify“ (prestigevoll qua secretOrPublicKey) zu erlangen.

In einem Proof-of-Concept-Exploit war Unit 42 in welcher Position, die „toString()“-Methode des Schlüsselobjekts zu mit einer Überschrift versehen.

„In JavaScript erbt jedes Objekt, dies von Object.prototype erbt, die Methode toString()“, sagt Oleyarsh. „Wenn es dementsprechend verdongeln blind vertrauenswürdigen Funktionsaufruf dieser Methode gibt und wir dies Schlüsselobjekt kontrollieren, können wir dessen toString() mit bösartigem Inhalt mit einer Überschrift versehen und beliebigen Identifikator ausrollen.“

Die Open-Source-Nutzung wächst zusammen mit welcher Cyberbedrohungsstufe

Da die Verwendung von Open-Source-Software (OSS) weiter zunimmt, wächst nebensächlich dies Motivation von Cyberangreifern, Softwarekomponenten und -pakete wie JWT qua Angriffsvektor zu verwenden.

„Wir beobachten Bedrohungsakteure, die quirlig nachher bekannten Schwachstellen suchen und ebendiese intrinsisch von Minuten ausnutzen“, Olejarsch sagt. „Ohne Präsent und Verständnis zum Besten von die OSS-Sicherheit werden wir meiner Meinung nachher immer mehr Angriffe erleben, die sich OSS-Sicherheitsprobleme zunutze zeugen.“

Er sagt, dass Sicherheitspraktiker qua Seelenverwandtschaft dazu hinzufügen und zusammenarbeiten zu tun sein, um OSS-Software sicherer zu zeugen.

„Wenige welcher Entwickler und Betreuer von OSS konstruieren Lösungen mit Blick uff die Sicherheit, welches bedeutet, dass sie ständig Sicherheitslücken beheben, nachher anfälligen Abhängigkeiten suchen und Sicherheitshinweise pflegen und veröffentlichen, damit die Benutzer die nicht anfälligen Versionen patchen können , und manche von ihnen sind es nicht”, bemerkt Oleyarsh.

Zunehmend werden Tools eingeführt, die Gegenwehr-, Identitäts- und Zugriffsverwaltung und Teams von Sicherheitsbetriebszentren dieserfalls unterstützen, anfällige Komponenten zu erspähen. Googles OSV-Scanner, welcher im Monat des Winterbeginns uff den Markt kam, erstellt z. B. eine verkettete Liste von Abhängigkeiten in einem Softwareentwicklungsprojekt und überprüft die OSV-Datensammlung uff bekannte Schwachstellen.

“Wenige leisten großartige Arbeit, während sie wunderbare und kreative Lösungen zum Besten von viele Probleme schaffen und sie jedem kostenlos zur Verfügung stellen”, sagt Oleyarsh. „Wenn Sie OSS in Ihrem Unternehmen implementieren, empfiehlt es sich, OSS-Paketscanner zu verwenden, um nachher anfälligen Versionen welcher von Ihnen verwendeten OSS-Pakete sowie nachher anfälligen Abhängigkeiten zu suchen.“

In welcher Zwischenzeit wirft Google nebensächlich sein beträchtliches Trägheitsmoment hinter verdongeln vorgeschlagenen politischen Rahmen welcher US-Regierung, welcher darauf abzielt, die Sicherheit zum Besten von Open-Source-Software zu stärken, und fordert den Privatsektor uff, die Initiative zu unterstützen.

Punktum manueller Sicht fügt Oleyarsh hinzu, dass Teams regelmäßig verdongeln Blick uff die Seiten mit Sicherheitshinweisen welcher OSS-Projekte werfen sollten, die sie verwenden, um jenseits Fehler uff dem Laufenden zu bleiben, und sich mit welcher Implementierung von Tools zur Untersuchung welcher Softwarezusammensetzung (SCA) befassen sollten, um leer Fehler zu verfolgen Open-Source-Pakete und -Module, die von einem Projekt verwendet werden, um diesen Prozess zu informieren.

„Wenn Sie dann uff verdongeln Fehler stoßen, welcher Auswirkungen uff die Sicherheit hat, ist es eine gute Realität, sich jenseits verdongeln privaten Chat an die Betreuer zu wenden und dies Problem zu melden und sogar die Störungsbehebung vorzuschlagen und zu diskutieren“, sagt er.

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top