Bug Remote Code Execution Ditemukan di Library JsonWebToken

idNSA.id - The open-source JsonWebToken (JWT) library dipengaruhi oleh kelemahan keamanan tingkat tinggi, dilacak sebagai CVE-2022-23529 (skor CVSS: 7.6), yang dapat mengakibatkan eksekusi kode jarak jauh.

Paket ini dikelola oleh Auth0, memiliki lebih dari 9 juta unduhan mingguan per Januari 2022 dan digunakan oleh lebih dari 22.000 proyek.

Cacat tersebut ditemukan oleh peneliti Unit 42, dan dapat dieksploitasi oleh pelaku ancaman dengan mengelabui server agar memverifikasi permintaan token web JSON (JWT) yang dibuat dengan salah.

“Dengan mengeksploitasi kerentanan ini, penyerang dapat mencapai eksekusi kode jarak jauh (RCE) di server yang memverifikasi permintaan token web JSON (JWT) yang dibuat dengan salah.” membaca penasehat yang diterbitkan oleh Palo Alto Networks. “  Dengan demikian, untuk mengeksploitasi kerentanan yang dijelaskan dalam postingan ini dan mengontrol nilai secretOrPublicKey, penyerang perlu mengeksploitasi kelemahan dalam proses manajemen rahasia.”

JsonWebToken adalah open-source JavaScript package yang memungkinkan pengguna memverifikasi/menandatangani token web JSON (JWT).

Cacat berdampak pada paket JsonWebToken versi 8.5.1 atau versi sebelumnya, paket JsonWebToken versi 9.0.0 mengatasi masalah ini.

“Untuk versi <=8.5.1 library jsonwebtoken, jika aktor jahat memiliki kemampuan untuk memodifikasi parameter pengambilan kunci (mengacu pada argumen secretOrPublicKey dari link readme) dari fungsi jwt.verify(), mereka dapat memperoleh kode jarak jauh eksekusi (RCE). membaca penasehat yang diterbitkan di GitHub. “Anda hanya terpengaruh jika Anda mengizinkan entitas yang tidak dipercaya untuk mengubah parameter pengambilan kunci jwt.verify() pada host yang Anda kontrol.”

Kerentanan dalam proyek open source sangat berbahaya, pelaku ancaman dapat mengeksploitasinya sebagai bagian dari serangan rantai pasokan yang dapat memengaruhi proyek apa pun yang mengandalkannya.

“Proyek open source biasanya digunakan sebagai tulang punggung banyak layanan dan platform saat ini. Ini juga berlaku untuk penerapan mekanisme keamanan sensitif seperti JWT, yang memainkan peran besar dalam proses autentikasi dan otorisasi.” tutup Palo Alto. “Kesadaran keamanan sangat penting saat menggunakan perangkat lunak open source. Meninjau implementasi keamanan open-source yang umum digunakan diperlukan untuk mempertahankan ketergantungannya, dan ini adalah sesuatu yang dapat diikuti oleh komunitas open source.”

Di bawah ini adalah timeline untuk kerentanan ini:

Pada 13 Juli 2022 – Peneliti Unit 42 mengirimkan pengungkapan kepada tim Auth0 berdasarkan prosedur pengungkapan yang bertanggung jawab, kemudian pada 27 Juli 2022 – Tim Auth0 memperbarui bahwa masalah sedang ditinjau, dan pada 23 Agustus 2022 – Peneliti Unit 42 mengirimkan permintaan pembaruan, kemudian 24 Agustus 2022 – Tim Auth0 memperbarui bahwa tim teknik sedang mengerjakan resolusi serta pada 21 Desember 2022 – Tambalan disediakan oleh tim teknik Auth0.