Die JsonWebToken-Bibliothek auf JavaScript-Basis kommt in rund 22.000 Software-Projekten zum Einsatz und weist pro Monat über 36 Millionen Downloads aus dem npm-Repository auf. Stimmen die Voraussetzungen, könnten Angreifer durch eine Schwachstelle aus der Ferne Schadcode auf Systeme schieben und ausführen.

Lieferketten-Angriffe möglich

Lücken in weitverbreiteten Software-Bibliotheken sind besonders gefährlich, weil Angreifer darüber oft unzählige Anwendungen, die die Bibliothek einsetzen, attackieren könnten. Das nennt man Supply-Chain-Attacke.

Die Warnung über die Sicherheitslücke (CVE-2022-23529 "hoch") stammt von der Githubseite der Entwickler von Okta Auth0. Sicherheitsforscher von Palo Alto Networks Unit 42 sind auf die Schwachstelle gestoßen. Mit der Bibliothek kann man JSON Web Tokens erstellen, signieren und verifizieren.

Gegenmaßnahme

Attacken sind aber nur möglich, wenn Angreifer den Parameter für den Schlüsselabruf ändern können. In der Warnmeldung klingt das so, als wäre das standardmäßig nicht möglich. Ist die Voraussetzung gegeben, müssten Angreifer den Sicherheitsforschern zufolge manipulierend in den Prozess der Geheimnisverwaltung zwischen einer Anwendung und einem JsonWebToken-Server eingreifen.

Diese Hürde führe dazu, dass der Schweregrad "nur" mit hoch eingestuft ist. Aufgrund von mangelhaften Überprüfungen hätten Angreifer Attacken mit dem Versenden von präparierten Objekten einleiten können.

Die Verantwortlichen geben an, das Sicherheitsproblem in der Version 9.0.0 gelöst zu haben. Wie der Patchstand von betroffener Software ist, ist zurzeit nicht bekannt. Auth0 gibt an, seit August 2022 an dem Sicherheitspatch gearbeitet zu haben. Die Veröffentlichung war im Dezember 2022.

(des)