Una vulnerabilidad crítica que permite evadir la autenticación es encontrada en Auth0, la cual permitiría a cualquier atacante poder acceder tanto a portales o aplicaciones por medio del servicio Auth0.
Auth0 ofrece un servicio de autenticación basado en token, para un numero grande de aplicaciones o redes sociales y con mas de 2.000 clientes empresas con mas de 42 millones de login cada dia, se transforma en una de las empresas mas grande a la hora de prestar el servicio "Identity-as-a-service".
Investigadores de la firma Cinta Infitita, descubrieron la falla (CVE-2018-6873) en Auth0, donde reside la validación incorrecta del JSON Web Token(JWT). Los investigadores explotaron este error conocido haciendo la autenticación del usuario mediante un simple CSRF/XSRF contra la aplicación que utilizaba Auth0.
Demostración del ataque
Según los investigadores, el ataque es reproducible contra muchas organizaciones, "siempre que conozcamos los campos y valores esperados para el JWT. No hay necesidad de ingeniería social en la mayoría de los casos que vimos. Autenticación para aplicaciones que usan un correo electrónico la dirección o un número entero incremental para la identificación del usuario sería pasado por alto trivialmente ".
"A diferencia de la solución para el caso especial descubierto por Cinta Infinita, este problema no se pudo resolver sin obligar a nuestros clientes a actualizar las bibliotecas / SDK en su extremo, una tarea mucho más importante", dijo el equipo de Auth0 en su aviso.