DOORBREKEN VAN IBM WEBSPHERE AUTHENTICATIE DOOR MISBRUIK VAN CRYPTOZWAKHEDEN IN LTPA TOKENS
Secura's Tom Tervoort ontdekte twee veelvoorkomende kwetsbaarheden en blootstellingen (CVE's) in IBM's WebSphere Authenticatie. De kwetsbaarheden zijn gerelateerd aan het LTPA2-token, een populair type token in gebruik bij IBM Websphere Liberty. Hij raadt aan om direct de patches van IBM te installeren en indien mogelijk LTPA-tokens te vermijden voor nieuwe applicaties. Download het whitepaper hier:
Download het whitepaper hier >
Tokens zijn een moderne manier om authenticatiegegevens te delen tussen webservices. Cryptografische protocollen zijn bedoeld om dergelijke tokens te beschermen, maar zoals we weten, is cryptografie complex. Tijdens zijn onderzoek ontdekte Tom twee CVE's met betrekking tot authenticatie-omzeilingen en privilege-escalaties.
INSTALLEER DE PATCHES DIRECT
De kwetsbaarheden zijn verantwoordelijk gemeld aan IBM, wat heeft geresulteerd in patches. Als u een applicatie heeft die WebSphere Liberty of Open Liberty gebruikt en (mogelijk) LTPA-authenticatie gebruikt, raden we aan deze patches direct te installeren.
In het algemeen zou Tom het gebruik van LTPA-tokens voor nieuwe applicaties afraden: de onderliggende cryptografie volgt niet de beste praktijken en deze aanvallen hebben aangetoond dat de complexiteit van het protocol gevoelig is voor implementatiefouten. In dit whitepaper presenteert hij de technische details.
Download Whitepaper
Download whitepaper met technische details over twee veelvoorkomende kwetsbaarheden en blootstellingen (CVE's) in IBM's WebSphere Authenticatie.
DownloadOver de auteur
Tom Tervoort, Principal Security Specialist at Secura
Tom Tervoort, Principal Security Specialist bij Secura, werkt sinds 2016 bij het bedrijf. Hij heeft ervaring in een verscheidenheid aan technische beveiligingsbeoordelingen en voert kwetsbaarheidsonderzoek uit met een focus op cryptografische systemen. Hij heeft de Pwnie Award 2020 voor beste cryptografische aanval gewonnen voor zijn ontdekking van de Zerologon-kwetsbaarheid.
Ontdek kwetsbaarheden in uw systemen
Om kwetsbaarheden in uw systemen te ontdekken, biedt Secura een reeks diensten aan. Om meer te weten te komen, vul het onderstaande formulier in, en een expert zal binnen één werkdag contact met u opnemen.
