ROMPIENDO LA AUTENTICACIÓN IBM WEBSPHERE ABUSANDO DE LOS DEFECTOS CRIPTOGRÁFICOS EN LOS TOKENS LTPA
Tom Tervoort, de Bureau Veritas Cybersecurity, descubrió dos vulnerabilidades y exposiciones comunes (CVE) en la autenticación WebSphere de IBM. Las vulnerabilidades están relacionadas con el token LTPA2, un tipo popular de token en uso en IBM Websphere Liberty. Recomienda instalar los parches de IBM de inmediato y, si es posible, evitar los tokens LTPA para las nuevas aplicaciones. Descargue el whitepaper aquí:
Los tokens son una forma moderna de compartir credenciales de autenticación entre servicios web. Los protocolos criptográficos están pensados para proteger dichos tokens, pero como sabemos, la criptografía es difícil. Durante su investigación, Tom descubrió dos CVE relacionadas con la elusión de autenticación y la escalada de privilegios.
INSTALE LOS PARCHES DE INMEDIATO
Las vulnerabilidades han sido reveladas responsablemente a IBM, lo que ha dado lugar a parches. Si tiene una aplicación que utiliza WebSphere Liberty u Open Liberty y (podría) utilizar la autenticación LTPA, le recomendamos que instale estos parches de inmediato.
En general, Tom recomendaría no utilizar tokens LTPA para las nuevas aplicaciones: la criptografía subyacente no sigue las mejores prácticas y estos ataques han demostrado que la complejidad del protocolo es sensible a los errores de implementación. En este libro blanco, presenta los detalles técnicos.
Descargar el Libro Blanco
Descargar whitepaper con detalles técnicos dos vulnerabilidades y exposiciones comunes (CVE's) en IBMs WebSphere Authentication.
DownloadSOBRE EL AUTOR
Tom Tervoort, Especialista Principal en Seguridad de Bureau Veritas Cybersecurity
Tom Tervoort, especialista principal en seguridad de Bureau Veritas Cybersecurity, trabaja en la empresa desde 2016. Tiene experiencia en diversos tipos de evaluaciones técnicas de seguridad y realiza investigaciones sobre vulnerabilidades centradas en sistemas criptográficos. Ha ganado el Premio Pwnie 2020 al mejor ataque criptográfico por su descubrimiento de la vulnerabilidad Zerologon.
Descubra las vulnerabilidades de sus sistemas
Para descubrir vulnerabilidades en sus sistemas, Bureau Veritas Cybersecurity ofrece una gama de servicios. Para saber más, Rellene el formulario y un expert se pondrá en contacto con usted en el plazo de un día laborable.
