VERLETZUNG DER IBM WEBSPHERE AUTHENTICATION DURCH MISSBRAUCH VON KRYPTOSCHWÄCHEN IN LTPA TOKENS

Tom Tervoort von Bureau Veritas Cybersecurity hat zwei allgemeine Schwachstellen und Sicherheitslücken (CVEs) in IBMs WebSphere Authentication entdeckt. Die Schwachstellen stehen im Zusammenhang mit dem LTPA2-Token, einem beliebten Token-Typ, der mit IBM Websphere Liberty verwendet wird. Er empfiehlt, die Patches von IBM sofort zu installieren und LTPA-Token für neue Anwendungen nach Möglichkeit zu vermeiden. Laden Sie das Whitepaper hier herunter:

Laden Sie das Whitepaper hier herunter

Token sind eine moderne Methode, um Authentifizierungsdaten zwischen Webdiensten auszutauschen. Kryptografische Protokolle wurden entwickelt, um solche Token zu schützen, aber wie wir wissen, ist die Kryptografie komplex. Bei seinen Nachforschungen entdeckte Tom zwei CVEs, die sich auf die Umgehung der Authentifizierung und die Ausweitung von Berechtigungen beziehen.

INSTALLIEREN SIE DIE PATCHES SOFORT

Die Schwachstellen wurden verantwortungsbewusst an IBM gemeldet, was zu Patches führte. Wenn Sie eine Anwendung haben, die WebSphere Liberty oder Open Liberty verwendet und (möglicherweise) die LTPA-Authentifizierung nutzt, empfehlen wir, diese Patches sofort zu installieren.

Generell würde Tom von der Verwendung von LTPA-Tokens für neue Anwendungen abraten: Die zugrunde liegende Kryptographie folgt nicht den Best Practices und diese Angriffe haben gezeigt, dass die Komplexität des Protokolls anfällig für Implementierungsfehler ist. In diesem Whitepaper stellt er die technischen Details vor.

Whitepaper herunterladen

Laden Sie das Whitepaper mit technischen Details zu zwei häufigen Schwachstellen und Sicherheitslücken (CVEs) in IBMs WebSphere Authentication herunter.

Download

Über den Autor

Tom Tervoort, leitender Sicherheitsspezialist bei Bureau Veritas Cybersecurity

Tom Tervoort, Principal Security Specialist bei Bureau Veritas Cybersecurity, ist seit 2016 für das Unternehmen tätig. Er hat Erfahrung in einer Vielzahl von technischen Sicherheitsbewertungen und führt Schwachstellenforschung mit Schwerpunkt auf kryptografischen Systemen durch. Für seine Entdeckung der Zerologon-Schwachstelle gewann er den Pwnie Award 2020 für den besten kryptografischen Angriff.

Entdecken Sie Schwachstellen in Ihren Systemen

Um Schwachstellen in Ihren Systemen zu entdecken, bietet Bureau Veritas Cybersecurity eine Reihe von Dienstleistungen an. Wenn Sie mehr erfahren möchten, füllen Sie das untenstehende Formular aus und ein Experte wird sich innerhalb eines Arbeitstages mit Ihnen in Verbindung setzen.

Vorname

Nachname

Unternehmen / Organisation

E-mail

Telefonnummer

Wie können wir Ihnen helfen?

Ich stimme der Verarbeitung meiner Daten gemäß der Datenschutzerklärung zu und akzeptiere die Allgemeinen Geschäftsbedingungen.

Ich bin einverstanden, dass Bureau Veritas Cybersecurity diese Daten nutzt, um mich über weitere Dienstleistungen, Veranstaltungen oder relevante Themen zu informieren.