Passer au contenu principal
Publié : 4 avril 2018 Numéro CVE : CVE-2018-6873 Crédit : Cinta Infinita

Vue d’ensemble

Une vulnérabilité a été identifiée dans le service d’authentification d’Auth0. Elle touchait tous les locataires Auth0 et a été corrigée le 15 octobre 2017, dans les quatre heures suivant son signalement, pour tous les clients du nuage public. Le présent avis est fourni à titre informatif et vise à expliquer la vulnérabilité ainsi que les mesures d’atténuation mises en place. Dans le cadre d’un flux d’authentification utilisateur utilisé par le service Auth0, un (JWT) est transmis au point de terminaison /login/callback pour identifier l’utilisateur. Ce jeton contient une référence à l’ — un locataire Auth0 — à laquelle il est destiné. Une faille dans le service Auth0 ne validait pas correctement cette audience et permettait donc qu’un jeton destiné à un locataire soit utilisé dans un autre. De plus, la fonctionnalité de base de données personnalisée offerte à tous les locataires Auth0 permet de générer des jetons authentifiés avec n’importe quel identifiant. Ainsi, si un attaquant parvenait à obtenir l’ID utilisateur d’une victime ciblée dans un locataire donné — ce qui est généralement considéré comme de l’information publique — il pouvait créer un jeton avec cet identifiant. En raison de la validation inadéquate de l’audience, le locataire cible l’acceptait et établissait une session de connexion en reconnaissant l’attaquant comme la victime. Cela permettait notamment une élévation de privilèges. Une préoccupation particulière concernait l’utilisation potentielle de cette attaque contre le service de gestion d’Auth0. Les locataires Auth0 sont gérés par des administrateurs de locataire, qui ont des comptes sur un « locataire d’autorité » avec les autorisations pertinentes. Si un attaquant pouvait découvrir l’identifiant utilisateur d’un administrateur de locataire sur le locataire d’autorité (par exemple au moyen de l’ingénierie sociale), cela lui permettait d’ouvrir une session en tant qu’administrateur à l’aide de la méthode d’attaque décrite. L’attaquant pouvait alors effectuer des actions administratives et consulter toute l’information du locataire. L’attaque n’était jamais efficace si l’utilisateur avait l’ activée, ce qui est recommandé.

Suis-je concerné ?

Tous les locataires Auth0 ont été touchés, mais un correctif a été appliqué. Les locataires du nuage public ont été corrigés dans les quatre heures suivant le signalement de la vulnérabilité. L’attaque ne pouvait pas réussir si l’utilisateur avait activé l’authentification multifacteur.

Comment résoudre ce problème?

La vulnérabilité a été corrigée par Auth0 grâce à l’ajout d’une validation adéquate du paramètre audience. Aucune autre mesure n’est requise de la part de nos clients.

Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?

Le correctif a été transparent pour tous les utilisateurs.