Auth0 исправила уязвимость обхода аутентификации

Auth0 исправила уязвимость обхода аутентификации

Платформа Auth0 была подвержена уязвимости обхода аутентификации, которая открывала злоумышленникам возможность взлома учетных данных. Как сообщается в отчёте Auth0, разработчикам компании удалось полностью исправить уязвимость за несколько месяцев.

5 октября 2017 года компания Cinta Infinita сообщила Auth0 об обнаруженной уязвимости в Legacy Lock API (CVE-2018-6873). Истоком этой уязвимости стала некорректная проверка параметров в JSON Web Tokens (JWT). Исследователи компании протестировали уязвимость и им удалось обойти аутентификацию. Они осуществили межсайтовую подделку запроса (CSRF/XSRF) в приложениях, использующих Auth0, которую инициировала ошибка CVE-2018-6874.

Злоумышленникам для взлома учетных данных платформы Auth0 достаточно знать идентификатор или адрес электронной почты.

Демонстрация атаки

Как сейчас известно, Auth0 исправила ошибку с токенами выпустив новые версии SDK (auth0.js 9 и Lock 11) в течение нескольких часов после сообщения от Cinta Infinita, а вот перерабатывать уязвимые библиотеки компании пришлось несколько месяцев.

Auth0 обеспечивает модель аутентификации для большого числа платформ: в день она управляет 42 миллионами логинов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы DoppelPaymer слили в Сеть документы SpaceX, Tesla, Boeing

Киберпреступники, стоящие за атаками программы-шифровальщика DoppelPaymer, слили в Сеть внутренние конфиденциальные документы, принадлежащие крупнейшим аэрокосмическим компаниям.

Причиной слива послужил отказ компаний заплатить выкуп, затребованный злоумышленниками за возврат файлов в прежнее состояние.

В опубликованных документах можно найти данные, касающиеся разработанного Lockheed-Martin военного оборудования — например, системы тактической противовоздушной обороны.

Прочая информация касалась счётов и выплат, данных и поставщиках, аналитических отчётов. Также в базе есть разные юридические документы.

Однако больше всего экспертов привлекли скомпрометированные данные, касающиеся партнерской программы SpaceX. В этом случае киберпреступникам удалось получить эту информацию через подрядчика, заразив компьютеры последнего вредоносной программой.

В целом среди пострадавших корпораций, чьи документы в том или ином виде попали в общий доступ, оказались Lockheed Martin, SpaceX, Tesla, Boeing, Honeywell, Blue Origin, Sikorsky, Joe Gibbs Racing.

Ранее мы уже писали, что операторы DoppelPaymer запустили специальный веб-сайт, на страницах которого размещают украденные у жертв файлы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru