VIOLAZIONE DELL'AUTENTICAZIONE IBM WEBSPHERE ABUSANDO DELLE FALLE CRITTOGRAFICHE NEI TOKEN LTPA
Tom Tervoort di Bureau Veritas Cybersecurity ha scoperto due vulnerabilità ed esposizioni comuni (CVE) in IBM WebSphere Authentication. Le vulnerabilità sono legate al token LTPA2, un tipo popolare di token in uso in IBM Websphere Liberty. Raccomanda di installare subito le patch di IBM e, se possibile, di evitare i token LTPA per le nuove applicazioni. Scarichi il whitepaper qui:
I token sono un modo moderno di condividere le credenziali di autenticazione tra servizi web. I protocolli crittografici sono destinati a proteggere tali token, ma come sappiamo, la crittografia è difficile. Durante la sua ricerca, Tom ha scoperto due CVE riguardanti i bypass di autenticazione e le escalation di privilegi.
INSTALLARE SUBITO LE PATCH
Le vulnerabilità sono state divulgate in modo responsabile a IBM, con la conseguente creazione di patch. Se ha un'applicazione che utilizza WebSphere Liberty o Open Liberty e (potrebbe) utilizzare l'autenticazione LTPA, le consigliamo di installare subito queste patch.
In generale, Tom sconsiglia di utilizzare i token LTPA per le nuove applicazioni: la crittografia sottostante non segue le best practice e questi attacchi hanno dimostrato che la complessità del protocollo è sensibile agli errori di implementazione. In questo libro bianco, presenta i dettagli tecnici.
Scaricare il libro bianco
Scarica il whitepaper con i dettagli tecnici di due vulnerabilità ed esposizioni comuni (CVE) in WebSphere Authentication di IBM.
DownloadSULL'AUTORE
Tom Tervoort, Principal Security Specialist di Bureau Veritas Cybersecurity
Tom Tervoort, Principal Security Specialist di Bureau Veritas Cybersecurity, lavora in azienda dal 2016. Ha esperienza in diversi tipi di valutazioni tecniche di sicurezza ed esegue ricerche sulle vulnerabilità con particolare attenzione ai sistemi crittografici. Ha vinto il Pwnie Award 2020 per il miglior attacco crittografico per la sua scoperta della vulnerabilità Zerologon.
Scopra le VULNERABILITÀ DEI SUOI SISTEMI
Per scoprire le vulnerabilità dei suoi sistemi, Bureau Veritas Cybersecurity offre una gamma di servizi. Per saperne di più, compili il modulo sottostante e un esperto la contatterà entro un giorno lavorativo.
