Akamai の認証プラットフォームに影響をおよぼす Lasso の脆弱性

Akamai offers post-mortem on recently resolved authentication platform vulnerability

2021/06/03 DailySwig — Akamai のアクセス・コントロールおよび認証プラットフォームである、Enterprise Application Access (EAA) の欠陥に関する分析結果と、最新のパッチを発表した。EAA とは、サードパーティの ID プロバイダーが提供する ID 情報に基づいて、エンタープライズ・ユーザーがアクセス制御や認証を決定できるようにするものだ。

EAA の開発者は、オープンソース・ライブラリ Lasso を利用して、ID プロバイダーが広く使用している認証プロトコル SAML v2.0 (Security Assertion Markup Language) をサポートしている。最近になって発見された Lasso ライブラリ の XML Signature Wrapping (XSW) 脆弱性の影響を、EAA も受けることになった。この Lasso の脆弱性は、CVE-2021-28091 として追跡されており、有効な SAML レスポンスに未署名の SAML アサーションが含まれるように、攻撃者が加工することが可能となる。この脆弱性の CVSS は 8.2 で、評価基準の上位に位置している。

Akamai EAA が Lasso に依存していることで、標的となるシステムのユーザーに、攻撃者が成りすまして悪用する可能性があると、この記事は指摘しています。このケースでは、なんらかの形での中間者攻撃や、フィッシングで入手した認証情報の悪用などが生じると考えられます。幸いなことに、Akamai インシデン・トレスポンスの専門家と、 Lasso の開発者が協力して、パッチ開発における協調的な情報公開プロセスの実施が可能になったようです。

%d bloggers like this: