Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

SAML kwetsbaarheid: dit moet je erover weten!

Deze week heeft Duo Labs, het researchteam van Duo Security, naar buiten gebracht dat er een kwetsbaarheid is gevonden in de XML-implementatie van SAML. Maakt u in uw organisatie gebruik van SAML-gebaseerde Single Sign-on systemen (SSO)? Lees dan even verder…

Wat is SAML?

SAML, de Security Assertion Markup Language, is een open standaard gebaseerd op de XML markup taal die gebruikt kan worden voor de uitwisseling van authenticatie- en autorisatiegegevens. Met SAML kan er dus beveiligingsinformatie uitgewisseld worden tussen een NetScaler ADC en bijvoorbeeld Azure AD of een andere third party iDP (Identity Provider), zoals Duo of Okta, om zodoende SSO (Single sign-on) te bewerkstelligen.

Wat houdt de kwetsbaarheid in?

De kwetsbaarheid zit hem in een ontwerpfout die in verschillende SSO software-implementaties en meerdere open-source bibliotheken is te vinden. Waar het in het kort opneer komt is dat de manier waarop commentaar in XML wordt afgehandeld, misbruikt kan worden.

We nemen als voorbeeld:

Hier kunnen we ook commentaar inzetten in de vorm van <!-jouw commentaar -> tags

Hierdoor kan de gebruikersnaam niet meer correct geparsed worden, waardoor een aanvaller potentieel toegang kan krijgen tot het systeem zonder dat hij geauthentiseerd is.

Welke systemen zijn vatbaar?

Duo geeft in zijn blog aan dat er meerdere vendoren vatbaar zijn voor deze kwetsbaarheid. Deze lijst is inmiddels gepubliceerd op de website van CERT op:
https://www.kb.cert.org/vuls/id/475445

Hierin te lezen dat AssureBridge en Okta niet getroffen zijn door deze kwetsbaarheid, Duo, OnmiAuth en Onelogin bijvoorbeeld wel.

Okta heeft inmiddels een statement uitgebracht:
https://www.okta.com/blog/2018/02/what-you-need-to-know-about-saml-vulnerability-research/
 

Duo heeft een patch uitgebracht voor hun Duo Network Gateway producten:
https://duo.com/labs/psa/duo-psa-2017-003

De lijst met vendoren waarvan de status nog niet bekend is, is wellicht interessanter. Op deze lijst staan onder andere grote namen zoals Cisco, Google en Microsoft.

Citrix staat niet op de lijst van vendoren, hoewel de Netscaler wel ingezet kan worden zowel als SP als IDP.

Citrix heeft ons echter laten weten dat het NetScaler productportfolio niet vatbaar is voor deze kwetsbaarheid.
 

Uw SSO op de lijst?

Maakt u gebruik van Duo, Onelogin of Shibboleth openSAML als SAML Idp dan raden we u aan om contact op te nemen met die partijen.