Vulnerabilidad en wire-server (CVE-2022-23610)

wire-server proporciona servicios de back-end para Wire, un mensajero de código abierto. En versiones de wire-server anteriores a 27-01-2022, era posible diseñar firmas DSA para omitir el SSO de SAML y suplantar a cualquier usuario de Wire con credenciales SAML. En equipos con SAML, pero sin SCIM, era posible crear nuevas cuentas con credenciales SAML falsas. Bajo determinadas condiciones que pueden ser establecidas por un atacante, una biblioteca upstream para analizar, renderizar, firmar y comprobar datos XML de SAML aceptaba como confiables claves públicas que eran proporcionadas por el atacante en la firma. Como consecuencia, el atacante podía iniciar sesión como cualquier usuario en cualquier equipo de Wire con SAML SSO habilitado. Si SCIM no estaba habilitado, el atacante también podía crear nuevos usuarios con nuevos NameID de SAML. Para explotar esta vulnerabilidad, el atacante necesita conocer el código de inicio de sesión de SSO (distribuido a todos los miembros del equipo con credenciales SAML y visible en la aplicación de administración de equipos), el EntityID de SAML que identifica al IdP (una URL no considerada confidencial, pero normalmente difícil de adivinar, también visible en la administración de equipos) y el NameID de SAML del usuario (normalmente una dirección de correo electrónico o un nick). El problema ha sido solucionado en wire-server "27-01-2022" y ya está desplegado en todos los servicios gestionados de Wire. Las instancias locales de wire-server deben ser actualizadas a "27-01-2022", para que sus backends no estén afectados. Actualmente no se presentan medidas de mitigación conocidas. Se presenta información más detallada sobre cómo reproducir la vulnerabilidad y las estrategias de mitigación en el aviso de seguridad de GitHub