Am 19. September 2024 wurde die Sicherheitslücke CVE-2024-8698 in Keycloak öffentlich bekannt gegeben. Diese Schwachstelle betrifft die SAML-Signaturvalidierungsmethode innerhalb der XMLSignatureUtil-Klasse von Keycloak und ermöglicht es Angreifern, manipulierte Antworten zu erstellen, die die Validierung umgehen können. Dies könnte zu schweren Angriffen führen, einschließlich Privilegieneskalation und Benutzerimitation.
Keycloak ist eine Open-Source-Software für Identitäts- und Zugriffsmanagement, die häufig in Unternehmensumgebungen zur Authentifizierung und Autorisierung verwendet wird. Die Sicherheitslücke resultiert aus einer fehlerhaften Überprüfung der SAML-Signaturen. Die betroffene Methode bestimmt, ob eine SAML-Signatur das gesamte Dokument oder nur bestimmte Assertions betrifft, basierend auf der Position der Signatur im XML-Dokument und nicht auf dem Referenzelement, das angibt, welches Element signiert wurde. Diese fehlerhafte Logik ermöglicht es Angreifern, XML-Strukturen zu manipulieren, um nicht signierte Assertions in gültige SAML-Antworten einzufügen, was zu einer Umgehung der Signaturvalidierung führt.
Die CVSS v3-Bewertung für diese Schwachstelle liegt bei 7.7 und wird als „Wichtig“ eingestuft, da sie erhebliche Sicherheitsrisiken birgt. Ein Angreifer könnte diese Lücke ausnutzen, um unberechtigten Zugriff auf hochprivilegierte Benutzerkonten zu erlangen. Dies stellt eine erhebliche Gefahr für Systeme dar, die SAML für die Authentifizierung verwenden, insbesondere wenn Keycloak als Identity Provider (IdP) oder Service Provider (SP) eingesetzt wird. Der Angriff kann zur vollständigen Übernahme von Benutzerkonten führen, die normalerweise nur autorisierten Benutzern vorbehalten sind.
Derzeit gibt es keine umfassenden Mitigationsstrategien, die den Anforderungen an Benutzerfreundlichkeit, Verbreitung und Stabilität durch die Red Hat Product Security entsprechen. Administratoren von Keycloak-Installationen wird empfohlen, wachsam zu sein und die Verfügbarkeit von Patches oder Updates durch die Keycloak-Community und Red Hat zu überwachen.
Es ist auch ratsam, zusätzliche Sicherheitsmaßnahmen zu ergreifen, wie das Einschränken des Zugriffs auf administrative Schnittstellen, das verstärkte Monitoring verdächtiger Aktivitäten und die Anpassung der SAML-Konfiguration, um unautorisierte Zugriffe so weit wie möglich zu minimieren.
Für detaillierte technische Details und weitere Informationen zur Schwachstelle CVE-2024-8698 besuchen Sie:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: