近日著名node.js库JWT(JsonWebToken)被爆存在严重远程漏洞。作为一个基础库,JWT被供应链广泛采用用,影响多个项目个项目,其中包括Microsoft、Twilio、Salesforce、Intuit、Box、IBM、Docusign、Slack、SAP知名公司的开源项目。
概述JsonWebToken项目是一个开源库,用于创建、签发和验证JSONWeb令牌。JWT遵循开放标准RFC,该标准定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。该信息可以被验证和信任,因为它是经过数字签名的,JWT项目由OktaAuth0开发和维护,根据NPM站点的统计数据其周下载量有万次,被个项目依赖。
最新暴露的漏洞CVE编号为CVE--,利用该漏洞可使攻击者绕过身份验证机制、访问机密信息,还可以用来窃取和修改数据。
根据Unit42的说明,该漏洞的利用需要先破坏应用程序和JsonWebToken服务器之间的密码管理过程,加大了可被利用的难度。目前其严重性等级降7.6。
漏洞分析CVE--漏洞由PaloAlto网络的Unit42在去年7月13日发现,并立即报告给Auth0。
研究人员发现,威胁行为者在验证恶意制作的JWS令牌后,可以使用JsonWebToken在服务器上实现远程代码执行。
漏洞注入点位于JsonWebToken的verify()方法中,该方法用于验证JWT并返回解码信息。此方法接受三个参数:token、secretOrPublicKey和option。由于函数验证时候未对“secretOrPublicKey”参数的检查以确定它是字符串还是缓冲区,攻击者可以发送特制对象在目标机器上执行任意文件写入。
使用相同的缺陷,但请求的负载略有不同,Unit42报告说实际上可以实现远程代码执行。
此漏洞被归类为“高严重性”(CVSS3.1得分:7.6),因为利用它很复杂,只能在秘密管理过程中利用它。只有当允许不受信任的实体在控制的主机上修改jwt.verify()的密钥检索参数时,才会受到影响,。
Auth0团队确认在年8月正在研究解决方案,在年12月21日发布了JsonWebToken版本9.0.0的补丁。
该补丁包括对secretOrPublicKey参数实施额外检查,以防止其解析恶意对象。
由于JsonWebToken是被广泛的引用开源库,供应链影响巨大,并且它将持续很长一段时间,直到大多数项目升级到安全版本。
虽然该漏洞利用难度较高,但考虑到潜在目标的数量,虽然该漏洞利用难度较高,但考虑到潜在目标的数量,建议所有系统管理都赶紧排查影响面并及时升级系统。