Auth0 исправила уязвимость обхода аутентификации

Auth0 исправила уязвимость обхода аутентификации

Платформа Auth0 была подвержена уязвимости обхода аутентификации, которая открывала злоумышленникам возможность взлома учетных данных. Как сообщается в отчёте Auth0, разработчикам компании удалось полностью исправить уязвимость за несколько месяцев.

5 октября 2017 года компания Cinta Infinita сообщила Auth0 об обнаруженной уязвимости в Legacy Lock API (CVE-2018-6873). Истоком этой уязвимости стала некорректная проверка параметров в JSON Web Tokens (JWT). Исследователи компании протестировали уязвимость и им удалось обойти аутентификацию. Они осуществили межсайтовую подделку запроса (CSRF/XSRF) в приложениях, использующих Auth0, которую инициировала ошибка CVE-2018-6874.

Злоумышленникам для взлома учетных данных платформы Auth0 достаточно знать идентификатор или адрес электронной почты.

Демонстрация атаки

Как сейчас известно, Auth0 исправила ошибку с токенами выпустив новые версии SDK (auth0.js 9 и Lock 11) в течение нескольких часов после сообщения от Cinta Infinita, а вот перерабатывать уязвимые библиотеки компании пришлось несколько месяцев.

Auth0 обеспечивает модель аутентификации для большого числа платформ: в день она управляет 42 миллионами логинов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Один из доменов Coincheck попал в руки киберпреступников

Японская криптовалютная биржа Coincheck стала жертвой киберпреступников, которым удалось получить контроль над одним из доменов компании. Как выяснилось впоследствии, мошенники использовали доменное имя для связи с клиентами.

В результате биржа была вынуждена приостановить денежные переводы, чтобы спокойно провести внутреннее расследование и выявить способ проникновения хакеров.

Согласно опубликованному компанией отчёту, злоумышленники атаковали биржу 31 мая. В частности, преступники смогли получить доступ к аккаунту Coincheck у хостингового провайдера Oname.com. Последний, к слову, также подтвердил факт взлома.

Несмотря на то, что Coincheck пока не может представить технических подробностей проникновения хакеров, один из японских специалистов заявил, что мошенники модифицировали DNS-записи домена coincheck.com.

Далее киберпреступники использовали целевой фишинг, с помощью которого, имитируя coincheck.com, перенаправляли пользователей на собственные серверы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru