Gisteren heeft Duo Labs, het research team van Duo Security, naar buiten gebracht dat er een kwetsbaarheid is gevonden in de XML implementatie van SAML. De details daarover zijn te lezen in hun blog:
https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementations
Wat is SAML
SAML, de Security Assertion Markup Language, is een open standaard gebaseerd op de XML markup taal die gebruikt kan worden voor de uitwisseling van authenticatie en authorisatie gegevens. Met SAML kan er dus beveiligingsinformatie uitgewisseld worden tussen een Netscaler ADC en bijvoorbeeld Azure AD of een andere third party iDP (Identity Provider) zoals Duo of Okta om zodoende SSO (Single sign-on) te bewerkstelligen.
Wat houdt de kwetsbaarheid
De kwetsbaarheid zit hem in een ontwerp fout die in verschillende SSO software implementaties en meerdere open-source bibliotheken is te vinden.
Waar het in het kort op neer komt is dat de manier waarop commentaar in XML wordt afgehandeld, misbruikt kan worden.
Als we als voorbeeld de volgende SAML assertion nemen:
|
1 |
<saml:NameID>geen-admin@domein.com</saml:NameID> |
We kunnen daar ook commentaar in zetten in de vorm van <!–jouw commentaar –> tags
|
1 |
<saml:NameID>geen-<!-- this is a comment -->admin@domein.com</saml:NameID> |
Hierdoor kan de gebruikersnaam niet meer correct geparsed worden waardoor een aanvaller potentieel toegang kan krijgen tot het systeem zonder dat hij geauthenticeerd is.
Wie zijn er vatbaar
Duo geeft in zijn blog aan dat er meerdere vendoren vatbaar zijn voor deze kwetsbaarheid. Deze lijst is inmiddels gepubliceerd op de website van CERT op:
https://www.kb.cert.org/vuls/id/475445
Hierin te lezen dat AssureBridge en Okta niet getroffen zijn door deze kwetsbaarheid, Duo, OnmiAuth en Onelogin bijvoorbeeld wel.
Okta heeft inmiddels een statement uitgebracht:
https://www.okta.com/blog/2018/02/what-you-need-to-know-about-saml-vulnerability-research/
Okta is not vulnerable, and we don’t have any indication that the vulnerability was exploited in our systems.
Duo heeft een patch uitgebracht voor hun Duo Network Gateway producten:
https://duo.com/labs/psa/duo-psa-2017-003
De lijst met vendoren waarvan de status nog niet bekend is, is wellicht interessanter. Op deze lijst staan onder andere grote namen zoals Cisco, Google en Microsoft.
Citrix staat niet op de lijst van vendoren hoewel de Netscaler wel ingezet kan worden zowel als SP als IDP.
Ik heb vanmorgen contact gehad met Citrix en zij geven aan dat zij de Netscaler productportfolio niet vatbaar is voor deze kwetsbaarheid.
I did my research on this and currently there is no impact of this vulnerability on NetScaler. However, if any such issue occurs it will be updated by Citrix.
Wanneer je gebruikt maakt van Duo, Onelogin of Shibboleth openSAML als SAML Idp dan raden we aan op contact op te nemen met die partijen.
[…] SAML kwetsbaarheid […]