Ekoparty2018: detalles sobre vulnerabilidad en Auth0 que permitía anular el sistema de autenticación

Nahuel Grisolía abrió el ciclo de actividades de ekoparty 2018 con su charla titulada “Derribando la puerta grande (Breaking Authentication and Segregation of Production & Non-Production Environments)”. En él explicaba los detalles de una investigación que realizó en 2017 en la que descubrió una falla en el servicio AuthO que permitía cancelar el sistema de autenticación. El error permitía el ingreso al sistema de cada empresa, organización o institución que utiliza la herramienta como sistema de autenticación, como la NASA o Harvard, entre otras. Este es un problema que fue solucionado y que fue parte del trabajo realizado por el experto durante el 2017.

AuthO es un sistema de autenticación federado que maneja más de un millón de inicios de sesión por día. Durante su charla, el fundador y CEO de la empresa de seguridad Cinta Infinita explicó que la falla en el sistema de autenticación en AuthO permitió el ingreso a las diferentes aplicaciones que este sistema controla libremente para compartir información entre entornos que requieren autenticaciones separadas, cuando en realidad no debería.

Muchas veces, las empresas tienen la costumbre de compartir información entre entornos de pruebas y producción, cuando en realidad deberían ofuscar el ambiente de pruebas. Esto se hace porque es práctico que la misma base de datos sea accesible para diferentes áreas dentro de la empresa.

El problema es que muchas veces se comparte información confidencial que incluye ciertos "secretos" o información de configuración que le sirve a un atacante para saltar o acceder de un entorno a otro, o para ser más ilustrativo, para acceder libremente a información de diferentes áreas en las cuales deportivo. poder acceder solo a quienes tienen acceso autorizado.

La vulnerabilidad descubierta no solo permitía saltar entre entornos, sino también entre aplicaciones de empresas que usaban AuthO en una misma plataforma, explicó el especialista en aplicaciones de pruebas de penetración.

Para comprender la importancia de este descubrimiento, el investigador mostró que la falla no solo permitía el acceso al panel de autenticación de la plataforma AuthO en el que un cliente inicia sesión y configura el sistema de autenticación que utilizará dentro de su empresa, sino también el de todas las empresas que trabajan con este sistema, que en el caso de AuthO era la NASA, la Universidad de Harvard, entre otros tantos más.

Nahuel Grisolía durante su charla en la ekoparty 2018 en la que expuso los detalles de la vulnerabilidad en AuthO que descubrió en 2017.

¿Cómo funciona el proceso de autenticación?

Cuando un usuario procede a autenticarse mediante AuthO y coloca sus credenciales de acceso, incluida su contraseña, la plataforma le da una clave token que solo le deriva servir al usuario para acceder a una determinada plataforma o instancia. Esa clave token está firmada digitalmente, o sea que, para que la clave sea valida tiene que contener la firma que le otgara AuthO. El problema es que AuthO debería usar diferentes claves para firmar diferentes tipos de autenticación. Y al usar la misma firma digital, el token puede ser utilizado para acceder a otros ambientes. La clave debe ser única para el servicio, pero a veces se usa la misma clave para todos, y la aplicación que recibe el token solo se asegura de que tiene la firma digital correspondiente para que sea válido, y que el usuario no tiene acceso a la medio ambiente.quiere ingresador