Vulnerabilità in protocollo SAML su tecnologie Single Sign On (SSO) 

 

Proto: N100218.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di vulnerabilità nel protocollo di autenticazione SAML all’interno di molteplici tecnologie di Single Sign On,  protocollo utilizzato in ambiti Enterprise per la gestione degli accessi  a servizi di terze parti. 

Le criticità hanno origine da discrepanze nella gestione dei commenti xml all’interno degli identificativi utente utilizzati da Identity Provider SAML (IdP) e Service Provider SAML (SP) attraverso le quali attaccanti di rete in possesso di account possono essere in grado di bypassare i controlli di autenticazione ed accedere abusivamente a servizi web utilizzati dall’Organizzazione vittima, impersonandone le utenze.

Gli scenari di applicabilità di attacchi basati sullo sfruttamento di queste vulnerabilità sono variabili, tuttavia possono avere maggior rilevanza qualora le componenti  Service Provider accettino identificativi utente arbitrari oppure nel caso in cui Identity Provider permetta registrazioni aperte.  Le tecnologie al momento coinvolte dalla problematica risultano essere:

  • OneLogin – CVE-2017-11427, CVE-2017-11428
  • Clever – CVE-2017-11429
  • OmniAuth-SAML – CVE-2017-11430
  • Shibboleth – CVE-2018-0489
  • Duo Network Gateway – CVE-2018-7340

Yoroi consiglia di pianificare l’applicazione degli aggiornamenti di sicurezza disponibili qualora la Vostra Organizzazione utilizzi autenticazioni SAML all’interno delle tecnologie SSO coinvolte. Per una lista aggiornata dei Vendor afflitti dalla problematica si rimanda all’apposita sezione all’interno delle note pubblicate da CERT/CC.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index