In der Open-Source-Bibliothek jsonwebtoken (JWT) wurde eine schwerwiegende Sicherheitslücke entdeckt, die bei erfolgreicher Ausnutzung zu Remotecodeausführung auf einem Zielserver führen kann.
„Durch das Ausnutzen dieser Schwachstelle können Angreifer Remote Code Execution (RCE) auf einem Server erreichen, der eine böswillig gestaltete JSON-Web-Token (JWT)-Anfrage verifiziert“, so Artur Oleyarsh, Forscher bei Palo Alto Networks Unit 42, in einem Bericht vom Montag.
Die Schwachstelle ist als CVE-2022-23529 (CVSS-Score: 7.6) bekannt und betrifft alle Versionen der Bibliothek, einschließlich und unterhalb von 8.5.1, und wurde in Version 9.0.0, die am 21. Dezember 2022 ausgeliefert wurde, behoben. Die Schwachstelle wurde von dem Cybersecurity-Unternehmen am 13. Juli 2022 gemeldet.
jsonwebtoken, das von Oktas Auth0 entwickelt und gewartet wird, ist ein JavaScript-Modul, mit dem Nutzer JSON-Web-Tokens dekodieren, verifizieren und generieren können, um Informationen zur Autorisierung und Authentifizierung sicher zwischen zwei Parteien zu übermitteln. Es wird wöchentlich über 10 Millionen Mal von der npm Software Registry heruntergeladen und von mehr als 22.000 Projekten genutzt.
Daher könnte die Möglichkeit, bösartigen Code auf einem Server auszuführen, die Vertraulichkeits- und Integritätsgarantien brechen und es einem bösen Akteur ermöglichen, beliebige Dateien auf dem Host zu überschreiben und jede beliebige Aktion mit einem vergifteten geheimen Schlüssel durchzuführen.
„Um die in diesem Beitrag beschriebene Schwachstelle auszunutzen und den Wert von secretOrPublicKey zu kontrollieren, muss ein Angreifer eine Schwachstelle im Prozess der Geheimnisverwaltung ausnutzen“, erklärt Oleyarsh.
Da sich Open-Source-Software für Angreifer zunehmend als lukrativer Einstiegsweg für Angriffe auf die Lieferkette entpuppt, ist es von entscheidender Bedeutung, dass Schwachstellen in solchen Tools proaktiv erkannt, entschärft und von den nachgeschalteten Nutzern gepatcht werden.
Erschwerend kommt hinzu, dass Cyberkriminelle neu entdeckte Schwachstellen viel schneller ausnutzen und die Zeit zwischen der Veröffentlichung eines Patches und der Verfügbarkeit eines Exploits drastisch verkürzt haben. Nach Angaben von Microsoft dauert es im Durchschnitt nur 14 Tage, bis ein Exploit in freier Wildbahn entdeckt wird, nachdem ein Fehler öffentlich gemacht wurde.
Um dieses Problem der Schwachstellenentdeckung zu bekämpfen, hat Google letzten Monat die Veröffentlichung von OSV-Scanner angekündigt, einem Open-Source-Dienstprogramm, das alle transitiven Abhängigkeiten eines Projekts identifizieren und relevante Schwachstellen aufzeigen soll, die sich darauf auswirken.