SAML kwetsbaarheid

S

Gisteren heeft Duo Labs, het research team van Duo Security, naar buiten gebracht dat er een kwetsbaarheid is gevonden in de XML implementatie van SAML. De details daarover zijn te lezen in hun blog:

https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementations

Wat is SAML

SAML, de Security Assertion Markup Language, is een open standaard gebaseerd op de XML markup taal die gebruikt kan worden voor de uitwisseling van authenticatie en authorisatie gegevens. Met SAML kan er dus beveiligingsinformatie uitgewisseld worden tussen een Netscaler ADC en bijvoorbeeld Azure AD of een andere third party iDP (Identity Provider) zoals Duo of Okta om zodoende SSO (Single sign-on) te bewerkstelligen.

Wat houdt de kwetsbaarheid

De kwetsbaarheid zit hem in een ontwerp fout die in verschillende SSO software implementaties en meerdere open-source bibliotheken is te vinden.

Waar het in het kort op neer komt is dat de manier waarop commentaar in XML wordt afgehandeld, misbruikt kan worden.

Als we als voorbeeld de volgende SAML assertion nemen:

We kunnen daar ook commentaar in zetten in de vorm van <!–jouw commentaar –> tags

Hierdoor kan de gebruikersnaam niet meer correct geparsed worden waardoor een aanvaller potentieel toegang kan krijgen tot het systeem zonder dat hij geauthenticeerd is.

Wie zijn er vatbaar

Duo geeft in zijn blog aan dat er meerdere vendoren vatbaar zijn voor deze kwetsbaarheid. Deze lijst is inmiddels gepubliceerd op de website van CERT op:

https://www.kb.cert.org/vuls/id/475445

Hierin te lezen dat AssureBridge en Okta niet getroffen zijn door deze kwetsbaarheid, Duo, OnmiAuth en Onelogin bijvoorbeeld wel.

Okta heeft inmiddels een statement uitgebracht:

https://www.okta.com/blog/2018/02/what-you-need-to-know-about-saml-vulnerability-research/

Okta is not vulnerable, and we don’t have any indication that the vulnerability was exploited in our systems.

Duo heeft een patch uitgebracht voor hun Duo Network Gateway producten:

https://duo.com/labs/psa/duo-psa-2017-003

De lijst met vendoren waarvan de status nog niet bekend is, is wellicht interessanter. Op deze lijst staan onder andere grote namen zoals Cisco, Google en Microsoft.

Citrix staat niet op de lijst van vendoren hoewel de Netscaler wel ingezet kan worden zowel als SP als IDP.

Ik heb vanmorgen contact gehad met Citrix en zij geven aan dat zij de Netscaler productportfolio niet vatbaar is voor deze kwetsbaarheid.

I did my research on this and currently there is no impact of this vulnerability on NetScaler. However, if any such issue occurs it will be updated by Citrix.

Wanneer je gebruikt maakt van Duo, Onelogin of Shibboleth openSAML als SAML Idp dan raden we aan op contact op te nemen met die partijen.

Over de auteur

Eltjo van Gulik

Eltjo is een enthousiaste en gedreven technisch consultant met ruim 18 jaar ervaring in de IT met een sterke focus op server- en applicatie virtualisatie producten van onder andere Microsoft (RDS, App-v, etc) en Citrix (XenDesktop, XenApp) en het installeren, configureren en beheren van applicaties binnen deze omgevingen.

1 bericht

Over

Eltjo van Gulik

Eltjo is een enthousiaste en gedreven technisch consultant met ruim 18 jaar ervaring in de IT met een sterke focus op server- en applicatie virtualisatie producten van onder andere Microsoft (RDS, App-v, etc) en Citrix (XenDesktop, XenApp) en het installeren, configureren en beheren van applicaties binnen deze omgevingen.

Contact