Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Można było ominąć logowanie kluczem sprzętowym 2FA do Cloudflare. Prosty trick…

19 września 2023, 16:00 | W biegu | komentarze 3

Spójrzcie na tę podatność opublikowaną w serwisie HackerOne, zatytuowaną dość lakonicznie: 2FA Bypass. Czytamy tutaj:

Dashboard Cloudflare umożliwia użytkownikom konfigurowanie uwierzytelniania dwuskładnikowego przy użyciu klucza bezpieczeństwa. Błąd w systemie uwierzytelniania umożliwiał pozyskanie kodów odzyskiwania (używanych do odzyskania dostępu do konta w przypadku utraty klucza bezpieczeństwa) – po podaniu prawidłowej nazwy użytkownika i hasła, ale przed zakończeniem procesu uwierzytelniania poprzez dotknięcie klucza bezpieczeństwa. Zespół inżynierów Cloudflare rozwiązał ten problem, uniemożliwiając żądania HTTP kierowane do podatnego API, dopóki użytkownicy nie zostaną w pełni uwierzytelnieni.

Cloudflare’s Dashboard enables users to configure 2-Factor Authentication using a Security Key. An issue in the authentication system allowed for the retrieval of recovery codes (used to regain account access if the security key is lost) after verifying the username and password but before completing the authentication process by touching the Security Key. Cloudflare’s Engineering team resolved the issue by disallowing requests to the vulnerable API endpoint until users are fully authenticated.

Sprzętowy klucz bezpieczeństwa to najbezpieczniejsza metoda 2FA – jeśli chodzi o dostęp do konta, ale jak widać, w obsłudze każdego mechanizmu mogą być błędy. W tym przypadku problematyczna była funkcja API (dająca dostęp do kodów zapasowych), do której najwyraźniej dostęp z wykorzystaniem 2FA nie był wymagany…

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. c1nn

    A niedawno mieli partnerstwo z Yubico… :P

    Odpowiedz
  2. Dan

    Nie bardzo rozumiem. Jeżeli zgubiłem klucz fizyczny to zasadne (niekonieczne bezpieczne), aby dostęp do kluczy odzyskiwania nie wymagał zagubionego klucza fizycznego :) Inżynierowie naprawili problem i wymagane jest teraz pełne uwierzytelnienie z dotknięciem klucza, którego nie mam?
    Chyba że wymagają dodania dwóch kluczy bezpieczeństwa…

    Odpowiedz
    • dasu

      Nie zaczaiłeś. Chodziło o to, że serwer PRZED dotknięciem klucza nie puszczał dalej na żadną stronę ZA WYJĄTKIEM strony z kodami jednorazowymi (gdy ktoś ręcznie wpisał/wkleił jej adres). Po prostu programista zrobił jakiś błąd i tyle.

      Odpowiedz

Odpowiedz