Auth0, 22.000’den fazla proje tarafından kullanılan “JsonWebToken” library’de bulunan RCE zafiyetini kapattığını açıkladı. Kütüphane şu anda, Microsoft, Twilio, Salesforce, Intuit, Box, IBM, Docusign, Slack, SAP ve çok daha fazlası tarafından kullanılmakta. Güvenlik açığı CVE-2022-23529 ile izlenebilirken 21 Aralık’ta yayınlanan 9.0.0’ın altındaki JsonWebToken sürümlerini etkiliyor. Zafiyetin başarılı bir şekilde kullanılması, saldırganların kimlik doğrulama mekanizmalarını atlamasına, gizli bilgilere erişmesine ve verileri çalmasına veya değiştirmesine olanak sağlıyor.
JWT Secret Poisoning
CVE-2022-23529 güvenlik açığı, Palo Alto Networks’ün Unit 42 tarafından 13 Temmuz 2022’de keşfedildi ve Auth0’a bildirildi. Araştırmacılar, saldırganların kötü amaçlarla oluşturulmuş bir JWS token’i doğruladıktan sonra JsonWebToken kullanan sunucularda uzaktan kod yürütmeyi başarabildiklerini keşfettiler. Buna izin veren zafiyet ise JWT’yi doğrulamak ve kodu çözülmüş bilgileri döndürmek için kullanılan JsonWebToken’s verify() method‘da bulunuyor. Bu method üç parametreyi kabul ediyor: ” the token, the secretOrPublicKey,options”. secretOrPublicKey parametresi bir dize mi yoksa arabellek mi olduğunu belirlemek için bir denetiminin olmaması nedeniyle, saldırganlar hedef makinede rasgele dosya yazma gerçekleştirmek için özel hazırlanmış bir nesne gönderebiliyor.
Unit42, aynı istek üzerinde aynı zafiyeti ancak biraz farklı bir payload ile kullanarak, uzaktan kod yürütmenin pratik olarak mümkün olacağını bildiriyor.
Auth0 ekibi, Ağustos 2022’de bir çözüm üzerinde çalıştıklarını doğruladı ve sonunda 21 Aralık 2022’de JsonWebToken sürüm 9.0.0 ile bir yama yayınlandı. Güncelleme, secretOrPublicKey parametresi için kötü amaçlı nesneleri ayrıştırmasını önleyen ek denetimler uygulamayı içeriyor.
Kaynak: bleepingcomputer.com
