CVE-2018-6873 : Faille de sécurité dans le service d’authentification Auth0

Date de publication : 4 avril 2018

Numéro CVE : CVE-2018-6873

Crédit: Cinta Infinita

Une faille a été identifiée dans le service d’authentification Auth0. Elle a affecté tous les locataires Auth0, et a été corrigée le 15 octobre 2017 dans les quatre heures suivant le rapport pour tous les clients du nuage public. Cet avis est informatif et vise à expliquer la faille et les mesures d’atténuation prises.

Dans le cadre d’un flux d’authentification d’utilisateur employé par le service Auth0, un jeton Web JSON (JWT) est transmis au point de terminaison /login/callback qui détermine l’utilisateur. Ce jeton contient une référence à l'audience, un locataire Auth0, auquel il est destiné. Le service Auth0 ne validait pas correctement cette audience, et permettait donc à des jetons destinés à un locataire d’être utilisés chez un autre. De plus, la fonctionnalité de base de données personnalisée proposée à tous les locataires Auth0 permet de générer des jetons d’authentification avec n’importe quel identifiant. Par conséquent, si un pirate apprenait l’identifiant de l’utilisateur d’une victime prévue chez un locataire cible, ce qui est généralement considéré comme une information publique, il pouvait générer un jeton avec cet identifiant. L'audience n’étant pas bien vérifiée, le locataire cible pouvait l’accepter et établir une séance de connexion en considérant l’attaquant comme la victime. Cela permettait une escalade des privilèges, parmi d’autres vecteurs d’attaque possibles.

Le risque d’utilisation de cette attaque sur le service de gestion Auth0 constituait une préoccupation particulière. Les locataires Auth0 sont gérés par des administrateurs de locataires, qui disposent de comptes sur un « locataire d’autorité » avec les autorisations nécessaires. Si un attaquant apprenait l’identifiant de l’utilisateur d’un administrateur de locataire sur l’autorité du locataire (par exemple par ingénierie sociale), cela permettait à l’attaquant de se connecter en tant qu’administrateur par la méthode d’attaque décrite. L’attaquant pouvait alors exécuter des actions administratives et consulter toutes les informations du locataire.

L’attaque ne fonctionnait jamais si l’utilisateur avait activé l’authentification multifacteur, ce qui est recommandé.

Tous les locataires Auth0 étaient concernés, mais des correctifs ont été apportés. Les locataires de nuages publics ont reçu un correctif dans les quatre heures qui ont suivi le signalement de la faille.

L’attaque échouait si l’utilisateur avait activé l’authentification multifactorielle.

La vulnérabilité a été corrigée par Auth0, en ajoutant une validation correcte du paramètre audience. Aucune action supplémentaire n’est requise de la part de nos clients.

La correction a été apportée de manière silencieuse, sans déranger les utilisateurs.