Schwere Sicherheitslücke in Keycloak ermöglicht Privilegieneskalation und Benutzerimitation

Am 19. September 2024 wurde die Sicherheitslücke CVE-2024-8698 in Keycloak öffentlich bekannt gegeben. Diese Schwachstelle betrifft die SAML-Signaturvalidierungsmethode innerhalb der XMLSignatureUtil-Klasse von Keycloak und ermöglicht es Angreifern, manipulierte Antworten zu erstellen, die die Validierung umgehen können. Dies könnte zu schweren Angriffen führen, einschließlich Privilegieneskalation und Benutzerimitation.

Keycloak ist eine Open-Source-Software für Identitäts- und Zugriffsmanagement, die häufig in Unternehmensumgebungen zur Authentifizierung und Autorisierung verwendet wird. Die Sicherheitslücke resultiert aus einer fehlerhaften Überprüfung der SAML-Signaturen. Die betroffene Methode bestimmt, ob eine SAML-Signatur das gesamte Dokument oder nur bestimmte Assertions betrifft, basierend auf der Position der Signatur im XML-Dokument und nicht auf dem Referenzelement, das angibt, welches Element signiert wurde. Diese fehlerhafte Logik ermöglicht es Angreifern, XML-Strukturen zu manipulieren, um nicht signierte Assertions in gültige SAML-Antworten einzufügen, was zu einer Umgehung der Signaturvalidierung führt.

Die CVSS v3-Bewertung für diese Schwachstelle liegt bei 7.7 und wird als „Wichtig“ eingestuft, da sie erhebliche Sicherheitsrisiken birgt. Ein Angreifer könnte diese Lücke ausnutzen, um unberechtigten Zugriff auf hochprivilegierte Benutzerkonten zu erlangen. Dies stellt eine erhebliche Gefahr für Systeme dar, die SAML für die Authentifizierung verwenden, insbesondere wenn Keycloak als Identity Provider (IdP) oder Service Provider (SP) eingesetzt wird. Der Angriff kann zur vollständigen Übernahme von Benutzerkonten führen, die normalerweise nur autorisierten Benutzern vorbehalten sind.

Derzeit gibt es keine umfassenden Mitigationsstrategien, die den Anforderungen an Benutzerfreundlichkeit, Verbreitung und Stabilität durch die Red Hat Product Security entsprechen. Administratoren von Keycloak-Installationen wird empfohlen, wachsam zu sein und die Verfügbarkeit von Patches oder Updates durch die Keycloak-Community und Red Hat zu überwachen.

Es ist auch ratsam, zusätzliche Sicherheitsmaßnahmen zu ergreifen, wie das Einschränken des Zugriffs auf administrative Schnittstellen, das verstärkte Monitoring verdächtiger Aktivitäten und die Anpassung der SAML-Konfiguration, um unautorisierte Zugriffe so weit wie möglich zu minimieren.

Für detaillierte technische Details und weitere Informationen zur Schwachstelle CVE-2024-8698 besuchen Sie:

Related Posts

Strafverfolger hebeln Tor-Anonymisierung aus

Deutsche Strafverfolgungsbehörden haben offenbar begonnen, das Tor-Netzwerk zu unterwandern, um Nutzer zu deanonymisieren. Recherchen von Panorama und STRG_F (funk/NDR) zeigen, dass Ermittler Tor-Knotenpunkte überwachen und sogenannte „Timing-Analysen“ durchführen, um Verbindungen zu Nutzern zurückzuverfolgen. Diese Methode führte im Fall der Darknet-Plattform „Boystown“ zum Ermittlungserfolg gegen führende Administratoren. Es handelt sich um die weltweit ersten belegten Fälle, in denen diese Technik erfolgreich eingesetzt wurde.

Read More

Ivanti schließt Admin-Bypass-Sicherheitslücke bei Cloud Services Appliance

Ivanti hat ein Sicherheitsupdate für die Cloud Services Appliance (CSA) veröffentlicht, das eine Admin-Bypass-Schwachstelle (CVE-2024-8963) adressiert. Diese betrifft CSA Version 4.6 und alle älteren Versionen vor Patch 519. Die Lücke ermöglicht es Angreifern, in Kombination mit einer weiteren Schwachstelle (CVE-2024-8190) die Kontrolle über ein betroffenes System zu übernehmen.

Read More

Datenleck bei Check24 und Verivox: Kreditkunden Daten waren im Netz aufrufbar

Am 17. September 2024 berichtete Correctiv von gravierenden Datenlecks bei den Vergleichsportalen Check24 und Verivox, die zu einem unautorisierten Zugriff auf sensible Kundendaten führten. Millionen von Menschen könnten betroffen sein, da Namen, Adressen, Einkommensinformationen und weitere private Daten leicht zugänglich waren. Besonders im Bereich der Kreditvermittlung waren diese Daten durch Sicherheitslücken abrufbar.

Read More