Schwachstelle in JsonWebToken

Durch eine Sicherheitslücke in einer Bibliothek sind 22.000 Open-Source-Projekte bedroht. Software-Projekte von Microsoft und IBM sind unter anderem betroffen.

Die JsonWebToken-Bibliothek auf Basis von JavaScript wird in circa 22.000 Software-Projekten angewandt und wird pro Monat mehr als 36 Millionen mal aus dem npm-Repository heruntergeladen. Unter bestimmten Voraussetzungen könnten Cyberkriminelle durch eine Sicherheitslücke Schadcode auf Systemen implementieren und ausführen.

Gefahr eines Lieferkettenangriffs

Da Angreifer in weitverbreiteten Software-Bibliotheken massenhaft Anwendungen, die in der Bibliothek zum Einsatz kommen, attackieren könne, ist diese Art von Cyberattacken besonders gefährlich und sind auch unter dem Namen Supply-Chain-Attacken bekannt.

Die kürzliche Meldung zur Schwachstelle (CVE-2022-23529 „hoch“) kam von der Github-Website der Developer von Okta Auth0. Sicherheitsexperten von Palo Alto Networks Unit 42 sind auf die Sicherheitslücke aufmerksam geworden. Mit Hilfe der Bibliothek kann man JSON Web Tokens erstellen, signieren und verifizieren.

Maßnahmen, um dem entgegenzuwirken

Die Gefahr eines Cyberangriffs besteht allerdings nur wenn Angreifer den Parameter für den Schlüsselabruf ändern können. Die Sicherheitswarnung lässt fälschlicherweise vermuten, dass das standardmäßig nicht möglich sei. Doch sind die erforderlichen Voraussetzungen gegeben, müssten Hacker, nach Angaben der Sicherheitsexperten, lediglich den Prozess der Geheimnisverwaltung zwischen einer Anwendung und einem JsonWebToken-Server maipulieren.

Durch die genannte Barriere wurde der Schweregrad der Sicherheitslücke nur mit „hoch“ bewertet. Dennoch hätten Angreifer, infolge von mangelhaften Überprüfungen, Attacken durch das Versenden von präparierten Objekten durchführen können.

Die Verantwortlichen geben nun bekannt, dass das Sicherheitsproblem in Version 9.0.0  inzwischen behoben wurde. Der Status des Patches der betroffenen Software ist derzeit noch unbekannt. Auth0 teilte mit, dass bereits seit August 2022 an einem Sicherheitspatch gearbeitet wurde. Die Veröffentlichung erfolgte daraufhin im Dezember 2022.