Można było ominąć logowanie kluczem sprzętowym 2FA do Cloudflare. Prosty trick…

Spójrzcie na tę podatność opublikowaną w serwisie HackerOne, zatytuowaną dość lakonicznie: 2FA Bypass. Czytamy tutaj:

Dashboard Cloudflare umożliwia użytkownikom konfigurowanie uwierzytelniania dwuskładnikowego przy użyciu klucza bezpieczeństwa. Błąd w systemie uwierzytelniania umożliwiał pozyskanie kodów odzyskiwania (używanych do odzyskania dostępu do konta w przypadku utraty klucza bezpieczeństwa) – po podaniu prawidłowej nazwy użytkownika i hasła, ale przed zakończeniem procesu uwierzytelniania poprzez dotknięcie klucza bezpieczeństwa. Zespół inżynierów Cloudflare rozwiązał ten problem, uniemożliwiając żądania HTTP kierowane do podatnego API, dopóki użytkownicy nie zostaną w pełni uwierzytelnieni.

Cloudflare’s Dashboard enables users to configure 2-Factor Authentication using a Security Key. An issue in the authentication system allowed for the retrieval of recovery codes (used to regain account access if the security key is lost) after verifying the username and password but before completing the authentication process by touching the Security Key. Cloudflare’s Engineering team resolved the issue by disallowing requests to the vulnerable API endpoint until users are fully authenticated.

Sprzętowy klucz bezpieczeństwa to najbezpieczniejsza metoda 2FA – jeśli chodzi o dostęp do konta, ale jak widać, w obsłudze każdego mechanizmu mogą być błędy. W tym przypadku problematyczna była funkcja API (dająca dostęp do kodów zapasowych), do której najwyraźniej dostęp z wykorzystaniem 2FA nie był wymagany…

~ms