DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Lỗ hổng trong thư viện Lasso ảnh hưởng tới các sản phẩm của Cisco, Akamai
Một lỗ hổng nghiêm trọng cao bị phát hiện gần đây trong thư viện mã nguồn mở Lasso, ảnh hưởng đến các sản phẩm của Cisco và Akamai, cũng như các bản phân phối Linux.
Lasso (Liberty Alliance Single Sign On) là một thư viện C, triển khai các tiêu chuẩn Liberty Alliance và SAML. Thư viện được ứng dụng trong xác định danh tính liên kết, đăng nhập một lần và các giao thức khác.
Lỗ hổng CVE-2021-28091, được báo cáo Akamai lần đầu tiên, tồn tại trong sản phẩm Enterprise Application Access (EAA). Lỗi được phát hiện trong quá tình sử dụng Lasso để xác minh các xác nhận SAML cho các ứng dụng khi khách hàng định cấu hình xác thực SAML với các nhà cung cấp danh tính bên thứ ba.
Akamai cho hay lỗ hổng cho phép kẻ tấn công mạo danh người dùng hợp lệ; các sản phẩm từ các nhà cung cấp khác cũng bị ảnh hưởng.
Akamai giải thích: “Lỗ hổng bảo mật này có khả năng cho phép kẻ tấn công truy cập vào phản hồi SAML cho một tổ chức - thường là những người dùng đã được xác thực, cũng có khả năng là các endpoint có thể bị xâm phạm hoặc proxy độc hại - để sửa đổi danh tính của họ và mạo danh một người dùng khác trong cùng một tổ chức."
“Để khai thác lỗi này, kẻ tấn công cần phải có thông tin xác thực hợp lệ cho [nhà cung cấp danh tính] hoặc đã có thông tin xác thực để xác thực là người dùng hợp lệ.”
Akamai nhận định lỗ hổng cũng ảnh hưởng đến các gói SOGo và PacketFence được duy trì bởi Inverse, mà Akamai đã mua lại gần đây.
Nhóm bảo mật Best Buy Enterprise Information Protection và Sam Tinklenberg báo cáo lỗ hổng này cho Akamai từ 23/2.
Akamai đã cung cấp thông tin kỹ thuật vliên quan. Công ty lưu ý lỗ hổng tương tự, được biết đến như XML Signature Wrapping, đã được báo cáo nhiều lần trong những năm qua và dường như đã tồn tại trong cơ sở mã Lasso từ năm 2005.
Cisco cũng xác nhận việc sử dụng thư viện Lasso. Hiện tại, Adaptive Security Appliance (ASA), Content Security Management Appliance (SMA), Email Security Appliance (ESA), FXOS software, Web Security Appliance (WSA), and Firepower Threat Defense (FTD) được xác định bị ảnh hưởng bởi lỗ hổng.
Các bản phân phối Red Hat, Ubuntu và Debian của Linux cũng đã phát hành các bản vá lỗi.
Ngày 1/6, các nhà phát triển của thư viện Lasso, phát hành phiên bản 2.7.0 vá lỗ hổng. Akamai đã phát hành các bản vá cho sản phẩm EAA của mình từ đầu tháng 3 và Cisco cũng đã bắt đầu phát hành các bản sửa lỗi.
Lasso (Liberty Alliance Single Sign On) là một thư viện C, triển khai các tiêu chuẩn Liberty Alliance và SAML. Thư viện được ứng dụng trong xác định danh tính liên kết, đăng nhập một lần và các giao thức khác.
Lỗ hổng CVE-2021-28091, được báo cáo Akamai lần đầu tiên, tồn tại trong sản phẩm Enterprise Application Access (EAA). Lỗi được phát hiện trong quá tình sử dụng Lasso để xác minh các xác nhận SAML cho các ứng dụng khi khách hàng định cấu hình xác thực SAML với các nhà cung cấp danh tính bên thứ ba.
Akamai cho hay lỗ hổng cho phép kẻ tấn công mạo danh người dùng hợp lệ; các sản phẩm từ các nhà cung cấp khác cũng bị ảnh hưởng.
Akamai giải thích: “Lỗ hổng bảo mật này có khả năng cho phép kẻ tấn công truy cập vào phản hồi SAML cho một tổ chức - thường là những người dùng đã được xác thực, cũng có khả năng là các endpoint có thể bị xâm phạm hoặc proxy độc hại - để sửa đổi danh tính của họ và mạo danh một người dùng khác trong cùng một tổ chức."
“Để khai thác lỗi này, kẻ tấn công cần phải có thông tin xác thực hợp lệ cho [nhà cung cấp danh tính] hoặc đã có thông tin xác thực để xác thực là người dùng hợp lệ.”
Akamai nhận định lỗ hổng cũng ảnh hưởng đến các gói SOGo và PacketFence được duy trì bởi Inverse, mà Akamai đã mua lại gần đây.
Nhóm bảo mật Best Buy Enterprise Information Protection và Sam Tinklenberg báo cáo lỗ hổng này cho Akamai từ 23/2.
Akamai đã cung cấp thông tin kỹ thuật vliên quan. Công ty lưu ý lỗ hổng tương tự, được biết đến như XML Signature Wrapping, đã được báo cáo nhiều lần trong những năm qua và dường như đã tồn tại trong cơ sở mã Lasso từ năm 2005.
Cisco cũng xác nhận việc sử dụng thư viện Lasso. Hiện tại, Adaptive Security Appliance (ASA), Content Security Management Appliance (SMA), Email Security Appliance (ESA), FXOS software, Web Security Appliance (WSA), and Firepower Threat Defense (FTD) được xác định bị ảnh hưởng bởi lỗ hổng.
Các bản phân phối Red Hat, Ubuntu và Debian của Linux cũng đã phát hành các bản vá lỗi.
Ngày 1/6, các nhà phát triển của thư viện Lasso, phát hành phiên bản 2.7.0 vá lỗ hổng. Akamai đã phát hành các bản vá cho sản phẩm EAA của mình từ đầu tháng 3 và Cisco cũng đã bắt đầu phát hành các bản sửa lỗi.
Theo: securityweek
Chỉnh sửa lần cuối bởi người điều hành: