Allvarlig sårbarhet i Lasso påverkar flera single-sign-on-produkter
En så kallad XML Signature Wrapping (XSW) sårbarhet har hittats i Lasso och påverkar produkter för single sign-on från flera tillverkare.
Sårbarheten (CVE-2021-28091) har fått CVSS-klassificeringen 8.2 av 10. Lasso publicerade en ny patchad version (2.7.0) i juni. Akamai och Cisco [1,2,3,4] har publicerat säkerhetsuppdateringar, likaså för Linux distributionerna Red Hat, Ubuntu och Debian [5,6,7].
Sårbarheten i Lasso SAML-implementeringen kan utnyttjas av en auteniserad fjärrangripare för att kringgå säkerhetsåtgärder. Angriparen behöver ha kommit över giltiga autentiseringsuppgifter från en id-leverantör för en användare som känns igen av tjänsten med hjälp av Lasso.
Påverkade produkter
Hittills är känt att sårbarheten finns i produkter från följande tillverkare:
Cisco
Adaptive Security Appliance (ASA)
Content Security Management Appliance (SMA)
Email Security Appliance (ESA)
FXOS software
Web Security Appliance (WSA)
Firepower Threat Defense (FTD)
Akamai
Enterprise Application Access (EAA)
Troligen är flera tillverkare drabbade av sårbarheten om de använder Lasso Library.
Rekommendationer
CERT-SE rekommenderar att systemägare som har SAML-autentisering knutet till Lasso bör säkerhetsuppdatera snarast. Det kan även vara nödvändigt med ytterligare åtgärder i syfte att undersöka effekterna på de autentiserade systemen.
Mer information finns hos respektive tillverkare enligt källorna nedan.
Källor
[1] https://blogs.akamai.com/2021/06/akamai-eaa-impersonation-vulnerability—a-deep-dive.html
[3] https://www.cert-bund.de/advisoryshort/CB-K21-0601
[5] https://access.redhat.com/security/cve/cve-2021-28091
[6] https://ubuntu.com/security/CVE-2021-28091
[7] https://security-tracker.debian.org/tracker/CVE-2021-28091