Reino: Security Features
La seguridad de un software no es un software de seguridad. Nos preocupamos de cuestiones como la autenticación, el control de acceso, la confidencialidad, la criptografía y la gestión de privilegios.
Acegi Misconfiguration: Run-As Authentication Replacement
Abstract
El uso de la característica de reemplazo de autenticación Ejecutar como en Acegi puede dar lugar a una vulnerabilidad de elevación de privilegios.
Explanation
Acegi Security permite reemplazar temporalmente el objeto Authentication en SecurityContext durante la fase de devolución de llamada del objeto seguro. Esta situación solo ocurre si el objeto Authentication original fue procesado correctamente por AuthenticationManager y AccessDecisionManager. RunAsManager crea este objeto Authentication.
Normalmente, los desarrolladores utilizan RunAsManager para configurar uno o más roles adicionales para un usuario autenticado durante la invocación de un método. Esta opción es útil en el caso de un archivo Bean seguro que necesita acceder a una aplicación remota. Dado que la aplicación remota puede exigir diferentes credenciales, esta posibilidad permite traducir entre los roles de llamada y los que necesita la aplicación remota para que el acceso remoto pueda tener éxito. El nuevo objeto Authentication (llamado RunAsUserToken) simplemente se aceptará como un objeto de autenticación válido sin ninguna comprobación adicional de autenticación o autorización.
Agregar nuevos roles o privilegios al nuevo objeto Authentication tiene el potencial de elevar temporalmente los privilegios del usuario, lo que le permite realizar una acción no autorizada.
La siguiente configuración muestra el uso de RunAsManager para agregar el rol "UBER_BOSS" a un usuario que tiene el rol "ROLE_PEON", de forma que se elevan temporalmente los privilegios de este usuario a administrador, lo que permite a todos los peones obtener datos del PrivateCatalog.
Normalmente, los desarrolladores utilizan RunAsManager para configurar uno o más roles adicionales para un usuario autenticado durante la invocación de un método. Esta opción es útil en el caso de un archivo Bean seguro que necesita acceder a una aplicación remota. Dado que la aplicación remota puede exigir diferentes credenciales, esta posibilidad permite traducir entre los roles de llamada y los que necesita la aplicación remota para que el acceso remoto pueda tener éxito. El nuevo objeto Authentication (llamado RunAsUserToken) simplemente se aceptará como un objeto de autenticación válido sin ninguna comprobación adicional de autenticación o autorización.
Agregar nuevos roles o privilegios al nuevo objeto Authentication tiene el potencial de elevar temporalmente los privilegios del usuario, lo que le permite realizar una acción no autorizada.
La siguiente configuración muestra el uso de RunAsManager para agregar el rol "UBER_BOSS" a un usuario que tiene el rol "ROLE_PEON", de forma que se elevan temporalmente los privilegios de este usuario a administrador, lo que permite a todos los peones obtener datos del PrivateCatalog.
<bean id="bankManagerSecurity" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
...
<property name="objectDefinitionSource">
<value>
com.example.service.PrivateCatalog.getData=ROLE_PEON,RUN_AS_UBER_BOSS
...
</value>
</property>
</bean>
References
[1] Ben Alex Acegi Security - Run-As Authentication Replacement
[2] Standards Mapping - Common Weakness Enumeration CWE ID 724
[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001764, CCI-001774, CCI-002038, CCI-002039
[4] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 CM-5 Access Restrictions for Change (P1), CM-7 Least Functionality (P1), IA-11 Re-Authentication (P0), SC-23 Session Authenticity (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 CM-5 Access Restrictions for Change, CM-7 Least Functionality, SC-11 Trusted Path, SC-23 Session Authenticity
[7] Standards Mapping - OWASP Mobile 2014 M5 Poor Authorization and Authentication
[8] Standards Mapping - OWASP Mobile 2024 M8 Security Misconfiguration
[9] Standards Mapping - OWASP Top 10 2004 A3 Broken Authentication and Session Management
[10] Standards Mapping - OWASP Top 10 2007 A7 Broken Authentication and Session Management
[11] Standards Mapping - OWASP Top 10 2010 A3 Broken Authentication and Session Management
[12] Standards Mapping - OWASP Top 10 2013 A2 Broken Authentication and Session Management
[13] Standards Mapping - OWASP Top 10 2017 A2 Broken Authentication
[14] Standards Mapping - OWASP Top 10 2021 A07 Identification and Authentication Failures
[15] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.3
[16] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.5.7
[17] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.8
[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.10
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.10
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.10
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.10
[22] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[23] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection
[24] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection
[25] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection
[26] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[27] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[28] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[29] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[30] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[31] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[32] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[33] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[34] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[35] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[36] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[37] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[38] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-001480 CAT II, APSC-DV-001490 CAT II
[39] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-001410 CAT II, APSC-DV-001480 CAT II, APSC-DV-001490 CAT II, APSC-DV-001520 CAT II, APSC-DV-001530 CAT II
[40] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-001410 CAT II, APSC-DV-001480 CAT II, APSC-DV-001490 CAT II, APSC-DV-001520 CAT II, APSC-DV-001530 CAT II
[41] Standards Mapping - Web Application Security Consortium Version 2.00 Insufficient Authentication (WASC-01)
[42] Standards Mapping - Web Application Security Consortium 24 + 2 Insufficient Authentication
desc.config.java.acegi_misconfiguration_run_as_authentication_replacement