SAML : une vulnérabilité permet de tromper les systèmes de SSO

Les équipes de Duo Security viennent de lever le voile sur une vulnérabilité affectant SAML, protocole ouvert incontournable du contrôle d’accès. C’est dans l’un de leurs produits qu’elles l’ont découverte, mais elle est présente dans 5 autres produits tiers. Cette vulnérabilité permet à une personne mal intentionnée disposant déjà d’un accès authentifié dans le système de single sign-on (SSO) de se présenter comme un autre utilisateur légitime, mais sans avoir besoin de s’authentifier à nouveau.

Kelby Ludwig, ingénieur chargé de la sécurité applicative chez Duo, a découvert la vulnérabilité dans la passerelle réseau de l’éditeur, à l’occasion d’un examen interne de routine. Mais peu après, il a découvert qu’elle était également présente dans les produits de SSO de OneLogin, Clever, OmniAuth et Shibboleth.

La vulnérabilité repose en fait sur la manière dont les librairies open source – lxml pour Python, ou encore REXML pour Ruby – gère les commentaires XML dans les réponses SAML. Un attaquant qui obtient les identifiants d’un utilisateur, par hameçonnage par exemple, peut intercepter la réponse SAML adressée par le système de SSO à l’application demandant l’authentification. L’attaquant peut alors altérer la réponse pour ouvrir une session comme un autre utilisateur.

Kelby Ludwig souligne que « l’exploitation de ce bug est extrêmement simple. Il n’y a qu’à intercepter le message SAML et changer sept caractères ». Selon lui, les fournisseurs d’identité autorisant l’enregistrement ouvert de comptes sont particulièrement affectés ; l’exploitation est plus difficile avec des comptes provisionnés manuellement.

Kelby Ludwig relève que cette faille pourrait être utilisée par des attaquants pour passer d’un compte utilisateur à bas privilèges à un autre, critique. Tous les éditeurs de systèmes de SSO qui utilisent SAML ne sont pas concernés. Mais d’autres, au-delà des quelques-uns déjà identifiés pourraient l’être. Car Kelby Ludwig relève qu’il ne s’agit pas d’une vulnérabilité dans SAML, « c’est plus une incompréhension de la manière dont il est utilisé ».

Le Cert de l’institut d’ingénierie logicielle de l’université Carnegie Mellon, s’est coordonné avec Duo Security pour dévoiler cette vulnérabilité et vient de publier une note d’information. Celle-ci se penche sur un plus grand nombre d’éditeurs et révèle ainsi que les implémentations SAML de Box, Okta, Ping Identity ou encore Pivotal ne sont pas concernées. Mais pour Cisco, Google ou encore Microsoft, aucune précision n’est pour l’heure disponible. Pas plus que du côté du français Ilex.