Lỗ hổng SSO nghiêm trọng của Samlify cho phép kẻ tấn công đăng nhập với tư cách quản trị viên

09:55 | 28/05/2025

Một lỗ hổng xác thực Samlify quan trọng đã được các nhà nghiên cứu của công ty an ninh mạng EndorLabs (Mỹ) phát hiện, cho phép kẻ tấn công mạo danh người dùng quản trị bằng cách đưa các xác nhận độc hại vào các response SAML đã được ký số hợp lệ.

Samlify là một thư viện xác thực giúp các nhà phát triển tích hợp SAML SSO và Single Log-Out (SLO) vào các ứng dụng Node.js. Đây là một công cụ phổ biến để xây dựng hoặc kết nối với các nhà cung cấp định danh (IdP) và nhà cung cấp dịch vụ (SP) bằng SAML.

Thư viện được sử dụng bởi các nền tảng SaaS, các tổ chức triển khai SSO cho các công cụ nội bộ, các nhà phát triển tích hợp với IdP như Azure AD hoặc Okta. Thư viện này rất phổ biến, đạt hơn 200.000 lượt tải xuống hàng tuần trên npm.

Lỗ hổng này được theo dõi với tên gọi CVE-2025-47949, được đánh giá nghiêm trọng (điểm CVSS v4.0: 9.9) ảnh hưởng đến tất cả các phiên bản Samlify trước 2.10.0. Theo các nhà nghiên cứu, Samlify xác minh đúng rằng tài liệu XML cung cấp định danh của người dùng đã được ký. Tuy nhiên, nó vẫn tiếp tục đọc các Assertions (SAML Assertions chứa thông tin về người dùng, quyền truy cập và các thuộc tính khác) giả mạo từ một phần của XML không được ký.

Kẻ tấn công nắm giữ response SAML đã ký số hợp lệ thông qua việc ngăn chặn hoặc metadata công khai có thể sửa đổi response đó để khai thác lỗ hổng trong thư viện và xác thực như một người dùng khác.

“Tin tặc sau đó lấy tài liệu XML đã ký số hợp lệ này và thao túng nó. Chúng chèn một SAML Assertion độc hại thứ hai vào tài liệu. Assertion độc hại này chứa danh tính của người dùng mục tiêu (ví dụ: tên người dùng của quản trị viên). Ký số hợp lệ từ tài liệu gốc vẫn áp dụng cho các nội dung lành tính trong XML, nhưng cấu trúc dễ bị tấn công của SP sẽ vô tình xử lý xác nhận độc hại, chưa được ký số”, EndorLabs giải thích.

Đây là cách bỏ qua SSO hoàn toàn, cho phép kẻ tấn công từ xa trái phép thực hiện leo thang đặc quyền và đăng nhập với tư cách quản trị viên. Kẻ tấn công không cần tương tác với người dùng hoặc quyền hạn đặc biệt, yêu cầu duy nhất là truy cập vào blob XML đã ký số hợp lệ, khiến việc khai thác trở nên tương đối đơn giản.

Để giảm thiểu rủi ro, người dùng được khuyến nghị nâng cấp lên Samlify phiên bản 2.10.0, được phát hành vào đầu tháng 5. Hiện tại, chưa có báo cáo nào về việc khai thác lỗ hổng CVE-2025-47949 trong thực tế, nhưng người dùng bị ảnh hưởng được khuyến cáo nên hành động ngay lập tức và bảo vệ hệ thống của mình.