JWT-Authentifizierung umgehbar: Sicherheitslücke im OpenID Connect Authenticator für Apache Tomcat

Im Rahmen eines Kundenprojekts haben IT-Sicherheitsexperten von ERNW Research eine Schwachstelle in der Bibliothek OpenID Connect Authenticator für Apache Tomcat identifiziert, die es erlaubt, die JWT-basierte Authentifizierung durch gezielt manipulierte, unsignierte Tokens zu umgehen. Betroffen sind die Versionen 2.0.0 bis 2.5.0 sowie der aktuelle Stand des master-Branch. Der Hersteller Boyle Software Inc. hat trotz mehrfacher Kontaktversuche über einen Zeitraum von fast sechs Monaten nicht reagiert – die Schwachstelle wird daher heute öffentlich offengelegt.

Schwachstelle im OpenID Connect Authenticator für Tomcat ermöglicht Umgehung der JWT-Signaturprüfung

Im Rahmen eines Kundenprojekts wurde eine Schwachstelle in der JWT-Validierungslogik der Bibliothek OpenID Connect Authenticator für Apache Tomcat identifiziert. Sie erlaubt es, die Authentifizierung durch den Einsatz unsignierter Tokens mit beliebig befüllten Payloads zu umgehen.

Technischer Hintergrund

Die Schwachstelle wurde mit Commit 64e9a99 eingeführt und betrifft alle Versionen zwischen 2.0.0 und 2.5.0 einschließlich des aktuellen master-Branch. Sie liegt in der Methode isSignatureValid innerhalb der Klasse org.bsworks.catalina.authenticator.oidc.BaseOpenIDConnectAuthenticator.

Das Verhalten ist wie folgt: Enthält ein JWT-Header einen Signaturalgorithmus, der der Bibliothek nicht bekannt ist, wird die Signaturprüfung stillschweigend übersprungen. Das Token gilt dennoch als gültig und passiert die Zugriffskontrolle ohne weitere Überprüfung. Der entsprechende Code in src/common/java/org/bsworks/catalina/authenticator/oidc/BaseOpenIDConnectAuthenticator.java verdeutlicht dieses Verhalten: Im Zweig für unbekannte Algorithmen findet keine Ablehnung des Tokens statt – die Verarbeitung wird fortgesetzt, als wäre die Signatur korrekt validiert worden.

Empfohlene Gegenmaßnahme

Tokens mit unbekannten oder nicht unterstützten Signaturalgorithmen sollten grundsätzlich abgewiesen werden. Die betroffene Anwendung muss diesen Fall explizit behandeln und die entsprechende Anfrage als nicht autorisiert zurückweisen, anstatt die Validierung implizit zu übergehen.

Offenlegungszeitraum

Nach Abstimmung mit dem Kunden wurden mehrere Versuche unternommen, Boyle Software Inc. auf die Schwachstelle hinzuweisen. Der Hersteller reagierte auf keinem der genutzten Kanäle.

Der Verlauf der Offenlegungsbemühungen im Überblick:

• 8. September 2025: Kontaktaufnahme über das offizielle Kontaktformular von Boyle Software Inc.
• 2. Oktober 2025: Kontaktversuch über LinkedIn
• 19. November 2025: Kontaktversuch per E-Mail an info@boylesoftware.com
• Dezember 2025 – Januar 2026: Mehrfache Kontaktversuche über verschiedene Kanäle
• 17. Februar 2026: Öffentliche Offenlegung

Da Boyle Software Inc. binnen eines angemessenen Zeitraums nicht reagiert hat, erfolgt die Veröffentlichung heute im Rahmen einer verantwortungsvollen, koordinierten Offenlegung (Responsible Disclosure). Nutzern der betroffenen Versionen wird empfohlen, die Schwachstelle durch eine angepasste Fehlerbehandlung im eigenen Deployment zu mitigieren, bis eine offizielle Korrektur seitens des Herstellers verfügbar ist.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk