Popüler açık kaynak (yeni sekmede açılır) JsonWebToken projesi, tehdit aktörlerinin etkilenen uç noktalarda uzaktan kötü amaçlı kod yürütmesine izin veren yüksek önem dereceli bir güvenlik açığı taşıyordu.
Palo Alto Networks’ün siber güvenlik kolu Unit 42’den gelen bir rapor, kusurun sunucunun kötü amaçlarla oluşturulmuş bir JSON web belirteci (JWT) isteğini doğrulamasına ve böylece saldırganlara uzaktan kod yürütme (RCE) yetenekleri sağlamasına nasıl izin vereceğini özetledi.
Bu da, tehdit aktörlerinin hassas bilgilere (kimlik verileri dahil) erişmesine, çalmasına veya değiştirmesine olanak tanır.
Yama mevcut
Kusur artık CVE-2022-23529 olarak izleniyor ve 7,6/10 önem derecesi verildi, bu da onu “kritik” değil “yüksek önem” olarak işaretliyor.
Daha yüksek bir puan verilmemesinin nedenlerinden biri, saldırganların öncelikle bir uygulama ile bir JsonWebToken sunucusu arasındaki gizli yönetim sürecini tehlikeye atması gerektiği gerçeğidir.
JsonWebToken paketinin 8.5.1 sürümünü veya önceki bir sürümünü kullanan herkesin JsonWebToken paketini, kusur için bir yama ile birlikte gelen 9.0.0 sürümüne güncellemesi önerilir.
JsonWebToken, kullanıcıların JWT’leri doğrulamasına ve/veya imzalamasına olanak tanıyan açık kaynaklı bir JavaScript paketidir.
Araştırmacılar, belirteçlerin genellikle yetkilendirme ve kimlik doğrulama için kullanıldığını belirterek, Auth0 tarafından geliştirildiğini ve sürdürüldüğünü de sözlerine ekledi.
Basın zamanında, paketin haftalık dokuz milyondan fazla indirmesi ve 20.000’den fazla bağımlısı vardı. Araştırmacılar, “Bu paket, birçok uygulama için kimlik doğrulama ve yetkilendirme işlevinde büyük rol oynuyor” dedi.
Güvenlik açığı ilk olarak Temmuz 2022’nin ortasında, Unit 42 araştırmacılarının bulgularını hemen Auth0’a bildirmesiyle keşfedildi. Yazarlar güvenlik açığını birkaç hafta sonra (Ağustos’ta) kabul ettiler ve nihayet 21 Aralık 2022’de bir yama yayınladılar.
Auth0, secretOrPublicKey parametresine kötü amaçlı nesneleri ayrıştırmasını engelleyen daha fazla kontrol ekleyerek sorunu düzeltti.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)
