CVE-2018-6873：Auth0認証サービスにおけるセキュリティ脆弱性

公開日：2018年4月04日

CVE番号：CVE-2018-6873

著者：Cinta Infinita

Auth0認証サービスでセキュリティ脆弱性が確認されました。これはすべてのAuth0テナントに影響し、パブリッククラウドをご利用のすべてのお客様に対して、報告から4時間以内の2017年10月15日に修正されました。この通知は情報提供を目的としたものであり、脆弱性と緩和策について説明することを目的としています。

Auth0サービスで採用されているユーザー認証フローの一部として、ユーザーを識別するJSON Web Token（JWT）が/login/callbackエンドポイントに渡されます。このトークンには、どのオーディエンス（Auth0テナント）を対象としているかを示す参照が含まれています。Auth0サービスの欠陥により、このオーディエンスが適切に検証されず、その結果、あるテナント向けのトークンが別のテナントで使用できるようになっていました。さらに、Auth0のすべてのテナントが利用できるカスタムデータベース機能により、任意の識別子で認証トークンを生成できます。そのため、攻撃者が標的とするテナントで意図する被害者のユーザー識別子を学習した場合（これは一般的に公開情報と見なされます）、その識別子でトークンを構築できる可能性があります。不適切なオーディエンスチェックが原因で、標的となるテナントがそれを承認し、攻撃者を被害者として認識するログインセッションが確立されます。これによって権限昇格が可能になり、他の攻撃ベクトルが可能になりました。

特に懸念されたのは、この攻撃がAuth0の管理サービスに対して使用される可能性でした。Auth0のテナントは、関連する権限を持つ「権限テナント」にアカウントを有するテナント管理者によって管理されます。これにより、テナント管理者のユーザー識別子をテナント権限で知ることができれば（ソーシャルエンジニアリングなどで）、攻撃者は前述の攻撃方法で管理者としてログインすることが可能になります。攻撃者はその後、管理操作を行い、テナントのすべての情報を閲覧できてしまいます。

ユーザーが多要素認証を有効にしていた場合（推奨）、今回の攻撃は有効ではありませんでした。

Auth0のすべてのテナントが影響を受けましたが、パッチ適用済みです。パブリッククラウドのテナントは、この脆弱性の報告から4時間以内にパッチが適用されました。

ユーザーが多要素認証を有効にしていた場合、今回の攻撃は有効ではありませんでした。

この脆弱性は、オーディエンスパラメーターの適切な検証を追加することで、Auth0によって修正されました。お客様側で追加の措置は必要ありません。

今回の修正は、すべてのユーザーに影響することなく完了しました。