Wat is Authentication Bypass? Technieken & Voorbeelden

Wat is Authentication Bypass?

Authentication bypass is een kwetsbaarheid waarmee een aanvaller toegang krijgt tot een systeem, applicatie of bron zonder geldige inloggegevens te verstrekken. In plaats van encryptie te breken of wachtwoorden te kraken, misleidt de aanvaller het systeem zodat het denkt dat hij al geauthenticeerd is, of omzeilt hij het authenticatiemechanisme volledig.

De bovenliggende zwakte, CWE-287, definieert de kernvoorwaarde: een product implementeert authenticatie niet correct, waardoor een actor de identiteit van een andere gebruiker kan aannemen. Elke specifieke bypass-subtype valt onder deze classificatie binnen de MITRE CWE-hiërarchie.

Authentication bypass is verantwoordelijk geweest voor enkele van de meest schadelijke datalekken in de afgelopen jaren. De Cl0p-ransomwarecampagne die MOVEit Transfer in 2023 uitbuitte, trof veel organisaties en individuen, volgens SecurityWeek. LockBit 3.0-affiliates maakten gebruik van de "Citrix Bleed"-kwetsbaarheid om sessies op te zetten zonder gebruikersnaam, wachtwoord of MFA-token, aldus CISA-advies.

De OWASP WSTG beschrijft het kernmechanisme: het is vaak mogelijk om authenticatie te omzeilen door verzoeken te manipuleren en de applicatie te misleiden zodat deze denkt dat de gebruiker al geauthenticeerd is. Aanvallers bereiken dit door URL-parameters aan te passen, formulieren te manipuleren of sessies te vervalsen.

Als u begrijpt hoe deze bypasses werken, kunt u ze effectiever stoppen.

Hoe werkt Authentication Bypass?

Authentication bypass maakt misbruik van zwaktes in de manier waarop een systeem identiteit verifieert. In plaats van de authenticatiepoort direct te confronteren, zoeken aanvallers manieren eromheen, erdoorheen of eronderdoor.

Het kernmechanisme

Elk authenticatiesysteem volgt een basisstroom: een gebruiker presenteert inloggegevens, het systeem valideert deze en het systeem geeft een sessietoken uit of verleent toegang. Authentication bypass richt zich op een of meer stappen in deze stroom:

Authenticatie volledig overslaan. De aanvaller benadert een functie, API-endpoint of alternatieve interface zonder authenticatiepoort. Een REST API of debugpoort zonder credentialcontroles geeft iedereen directe toegang tot kritieke bronnen.
Manipuleren van authenticatie-invoer. De aanvaller wijzigt client-side gegevens die het systeem vertrouwt als bewijs van identiteit. Het instellen van een cookie op "LOGGEDIN" of het veranderen van een verborgen formulierveld naar "admin=true" kan slecht ontworpen systemen misleiden om toegang te verlenen.
Uitbuiten van logische fouten. De authenticatiecode gebruikt onjuiste booleaanse logica, evalueert voorwaarden in de verkeerde volgorde of behandelt randgevallen niet correct. Een verkeerde operator in een authenticatievoorwaarde kan ervoor zorgen dat de controle slaagt wanneer deze zou moeten falen (CWE-303).
Kapenen van geldige sessies. De aanvaller onderschept of herhaalt een legitiem sessietoken. Als het systeem geen nonce-validatie, tijdstempelcontroles of replay-preventie heeft, geeft een onderschept token dezelfde toegang als de oorspronkelijke gebruiker.
Misbruik van herstelmechanismen. Wachtwoordresetflows zonder throttling, met voorspelbare beveiligingsvragen of zonder verificatie via een tweede kanaal, stellen aanvallers in staat accounts over te nemen zonder het oorspronkelijke wachtwoord te kennen.

Elk van deze mechanismen is terug te vinden in gedocumenteerde praktijkvoorbeelden. Het volgende voorbeeld volgt een van de meest voorkomende patronen in een concreet scenario.

Een stapsgewijze aanvalsstroom

Stel een webapplicatie voor met een administratieve interface achter sterke authenticatie. Een intern API-endpoint op /api/v2/admin/config, gebouwd voor een ontwikkeltool, is nooit achter dezelfde authenticatiepoort geplaatst.

De aanvaller vindt dit endpoint via directory-enumeratie, stuurt een samengesteld HTTP-verzoek en de server retourneert configuratiegegevens en verleent administratieve toegang. De inlogpagina is nooit aangeraakt.

Dit patroon, in kaart gebracht naar CWE-306, komt herhaaldelijk voor in praktijkexploits. Weten welk type bypass aanwezig is, bepaalt zowel het aanvalspad als de juiste maatregel om het te stoppen.

Typen Authentication Bypass

Authentication bypass is geen enkele kwetsbaarheid, maar een familie van zwaktes gegroepeerd onder CWE-287. Elk type maakt misbruik van een ander punt in de authenticatiestroom en vereist een andere verdedigingsmaatregel om het aan te pakken.

Type	CWE	Werking
Ontbrekende authenticatie	CWE-306	Een kritieke functie of endpoint wordt geleverd zonder authenticatiepoort. Iedereen met netwerktoegang tot de bron kan deze direct bereiken.
Alternatief pad bypass	CWE-288	Een secundair kanaal, zoals een debugpoort, interne API of administratieve interface, omzeilt de authenticatiecontroles die op het primaire pad zijn toegepast.
Authenticatie logica bypass	CWE-303	Onjuiste booleaanse operatoren of foutieve volgorde van voorwaarden zorgen ervoor dat de authenticatiecontrole slaagt wanneer deze zou moeten falen.
Client-side trust bypass	CWE-302	Het systeem accepteert gemanipuleerde cookies, verborgen formuliervelden of URL-parameters als bewijs van geauthenticeerde identiteit in plaats van server-side te valideren.
Sessie-fixatie	CWE-384	De aanvaller stelt vooraf een bekend sessie-ID in voordat het slachtoffer zich authenticeert. Na inloggen draagt die ID de bevoorrechte sessie van het slachtoffer.
Capture-replay	CWE-294	Een geldig sessietoken wordt onderschept en hergebruikt. Zonder nonce-validatie of tijdstempelcontroles behandelt de server het herhaalde token als een legitiem verzoek.
Standaard of hard-coded credentials	CWE-798	Inloggegevens ingebed in firmware, broncode of fabrieksconfiguratie creëren een permanente bypass die software-updates en patchcycli overleeft.
Foutieve herstel bypass	CWE-640	Wachtwoordresetflows zonder throttling, voorspelbare beveiligingsvragen of ontbrekende verificatie via een tweede kanaal stellen aanvallers in staat inloggegevens te resetten zonder autorisatie.

Deze typen sluiten elkaar niet uit. Een enkel systeem kan meerdere varianten tegelijk bevatten en gekoppelde exploits combineren vaak twee of meer ervan. Begrijpen welk type aanwezig is, is de eerste stap in het opstellen van een accuraat dreigingsmodel.

Veelvoorkomende oorzaken van Authentication Bypass

Authentication bypass komt niet voort uit één enkele fout. Het ontstaat uit een reeks ontwerp-, implementatie- en operationele fouten die hiaten creëren in de manier waarop systemen identiteit verifiëren.

Ontbrekende of onvolledige authenticatiepoorten

Kritieke functies worden geleverd zonder authenticatievereiste: REST API's, beheerdersconsoles, debugpoorten en IoT UART-interfaces. CWE-306 documenteert praktijkvoorbeelden: een niet-geauthenticeerde workflow-API (CVE-2020-13927, vermeld in CISA's Known Exploited Vulnerabilities-catalogus) en VMware remote code execution via niet-geauthenticeerde bestandsupload (CVE-2021-21972, ook in CISA KEV).

Alternatief pad blootstelling

Een systeem vereist authenticatie op de primaire interface, maar heeft een secundair pad dat niet dezelfde controles afdwingt. CWE-288 beschrijft dit patroon en het blijft een van de meest uit te buiten hoofdoorzaken in productie-ondernemingssoftware.

Vertrouwen op client-side data

Systemen die vertrouwen op cookies, verborgen formuliervelden of URL-parameters als authenticatiebewijs zijn eenvoudig te omzeilen. CWE-302 definieert deze zwakte.

Hard-coded en standaard credentials

Inloggegevens ingebed in firmware, broncode of fabrieksinstellingen creëren permanente achterdeurtjes. CWE-798 staat op de CWE Top 25 Most Dangerous Software Weaknesses (2024). De Stuxnet-campagne maakte gebruik van hard-coded credentials in SCADA-systemen (CVE-2010-2772) en standaardwachtwoorden in routerfirmware blijven een aanhoudend toegangspunt.

Sessiebeheerfouten

Wanneer sessie-ID's niet worden vernieuwd na inloggen, kunnen aanvallers sessie-fixatie uitbuiten (CWE-384). De aanvaller stelt vooraf een bekende sessie-ID in voordat het slachtoffer zich authenticeert. Na inloggen draagt de vooraf ingestelde ID de geauthenticeerde sessie van het slachtoffer.

Zwakke cryptografische controles

Systemen die geen nonce-validatie, tijdstempelcontroles of challenge-response-mechanismen implementeren, zijn kwetsbaar voor capture-replay-aanvallen (CWE-294). Een onderschept authenticatietoken kan onbeperkt worden herhaald.

Foutieve herstelmechanismen

Wachtwoordresetflows zonder throttling, kwetsbaarheden in e-mailomleiding of beveiligingsvragen die te beantwoorden zijn via sociale media stellen aanvallers in staat inloggegevens te resetten zonder autorisatie (CWE-640).

Deze hoofdoorzaken hebben gevolgen die veel verder reiken dan ongeautoriseerde toegang.

Impact en risico van Authentication Bypass

Authentication bypass is geen op zichzelf staande kwetsbaarheid. Het is het toegangspunt voor een gedocumenteerde aanvalsketen die leidt tot credential harvesting, laterale beweging, data-exfiltratie en ransomware-implementatie.

De gegevens over de impact in de praktijk zijn consistent in grote branche-rapporten:

Gestolen inloggegevens blijven een zeer veelvoorkomende initiële toegangsmethode ten opzichte van andere vectoren, volgens de 2025 DBIR.
Het IBM breach report plaatst de wereldwijde gemiddelde kosten van een datalek in de miljoenen dollars.
VPN's en edge-apparaten kregen in dezelfde rapportageperiode veel aandacht van aanvallers, volgens de 2025 DBIR.
Gecompromitteerde systemen waar bedrijfsinloggegevens werden gevonden, omvatten ook niet-beheerde BYOD (Bring Your Own Device)-endpoints die buiten standaard patch- en monitoringprocessen vallen, volgens de 2025 DBIR.

Als u de technieken van aanvallers begrijpt, kunt u sterkere verdedigingen bouwen.

Hoe aanvallers Authentication Bypass uitbuiten

Aanvallers gebruiken authentication bypass via meerdere gedocumenteerde technieken, in kaart gebracht naar het ATT&CK framework. Moderne uitbuiting omvat zelden één enkele CVE. Multi-CVE chaining is gebruikelijk.

Wijzigen van authenticatieprocessen (T1556)

T1556 omvat technieken die direct een authenticatiemechanisme ondermijnen in plaats van inloggegevens uit te buiten. In bedrijfsomgevingen komen drie subtechnieken het meest voor:

Skeleton Key-aanvallen (T1556.001): Het patchen van LSASS (Local Security Authority Subsystem Service) op een domeincontroller met door de aanvaller beheerde inloggegevens, waardoor authenticatie als elke domeingebruiker mogelijk is tot de volgende herstart.
MFA-bypass (T1556.006): MFA-aanroepen omleiden naar localhost via aanpassing van het hosts-bestand zodat MFA stil faalt terwijl authenticatie doorgaat.
Misbruik van hybride identiteit (T1556.007): Registreren van een nieuwe Pass-Through Authentication-agent via een gecompromitteerd Entra ID Global Administrator-account om inloggegevens te verzamelen.

Deze subtechnieken zijn bijzonder effectief tegen hybride identiteitsomgevingen waar authenticatiebeslissingen verspreid zijn over on-premises en cloudsystemen.

Uitbuiten van geldige accounts (T1078)

Aanvallers verkrijgen en misbruiken inloggegevens van bestaande accounts. Dit komt direct overeen met CWE-798 (hard-coded credentials) en CWE-1392 (standaard credentials). Wanneer systemen worden geleverd met ongewijzigde fabrieksinloggegevens, krijgen aanvallers toegang zonder codekwetsbaarheden uit te buiten.

Credential brute force en spraying (T1110)

Drie verschillende aanvalstypen vereisen verschillende verdedigingsmaatregelen:

Brute force: Meerdere wachtwoorden getest op één account. Per-account lockout detecteert dit.
Credential stuffing: Gebruikersnaam- en wachtwoordparen uit datalekken getest op accounts.
Password spraying: Eén zwak wachtwoord getest op veel accounts. Dit patroon ontwijkt per-account lockoutdrempels volledig, zoals opgemerkt door de OWASP auth guide.

Verdedigen tegen alle drie vereist onafhankelijke controles. Een lockoutbeleid dat brute force stopt, detecteert geen low-volume spray verspreid over duizenden accounts, en geen van beide detecteert credential stuffing wanneer de inloggegevens zelf geldig zijn.

Vervalsen van webcredentials (T1606)

Tegenstanders genereren vervalste inloggegevens, zoals cloud API-tokens of pre-authenticatiesleutels, die MFA en andere authenticatiebescherming omzeilen.

Multi-CVE chaining in de praktijk

Enkele van de meest impactvolle recente campagnes gebruikten expliciete CVE-ketens:

Cisco IOS XE (2023): CVE-2023-20198 gaf initiële toegang en privilege 15 command execution, daarna CVE-2023-20273 voor rootrechten en installatie van een Lua-gebaseerde backdoor.
Ivanti Connect Secure (2024): Een keten van vier CVE's (CVE-2023-46805, CVE-2024-21887, CVE-2024-21893, CVE-2024-22024) bereikte niet-geauthenticeerde commando-uitvoering, waarbij aanvallers Ivanti's eigen integriteitschecker manipuleerden om ontdekking te ontwijken.
Russische APT (2020): CVE-2018-13379 haalde platte tekst inloggegevens uit Fortinet SSL VPN's, gekoppeld aan CVE-2020-1472 (Netlogon) voor domein privilege-escalatie, volgens CISA advisory.

Voor SOC-teams betekent dit dat triage van authentication bypass CVE's direct moet leiden tot correlatiequeries voor gekoppelde kwetsbaarheden, niet tot geïsoleerde CVE-respons. Weten wie deze aanvallen ondervindt, helpt u uw verdediging te prioriteren.

Wie wordt getroffen door Authentication Bypass?

Sommige sectoren en applicatietypen lopen onevenredig veel risico.

Sectoren met het grootste risico

Branchegegevens over datalekken tonen consistente patronen over meerdere rapportagecycli. Sommige sectoren lopen jaar na jaar verhoogde blootstelling door hun afhankelijkheid van internetgerichte diensten, credential-intensieve workflows en waardevolle databronnen.

Sector	Belangrijkste bevinding	Bron
Manufacturing	Hoog aantal incidenten en datalekken, met gecompromitteerde inloggegevens in een aanzienlijk deel van de manufacturing-incidenten.	2025 DBIR
Healthcare	Bevestigde datalekken blijven hoog, met een aanzienlijk aandeel veroorzaakt door interne actoren.	2025 DBIR
Government	Ransomware komt op betekenisvol niveau voor in overheidsdatalekken.	2025 DBIR
Finance & Insurance	Bovengemiddelde kosten per datalek volgens IBM 2024-rapport.	IBM 2024
Critical Infrastructure	CISA bevestigde dat statelijke actoren toegang verhandelen voor ransomwaregroepen.	CISA AA24-241A

Meest aangevallen applicatietypen

Naast specifieke sectoren dragen bepaalde applicatie- en infrastructuurcategorieën een onevenredig hoge blootstelling, ongeacht de sector. De volgende komen het vaakst voor in grote datalekdatabases en CISA-adviezen:

VPN's en edge-apparaten: Uitbuiting gericht op deze categorie is jaar op jaar toegenomen.
Webapplicaties: Brute force en credential-gebaseerde aanvallen vertoonden consistente activiteit, volgens de 2025 DBIR.
Active Directory en identiteitsinfrastructuur: Misbruik van identity providers is een groeiend aanvalsoppervlak bij supply chain-compromissen, volgens ENISA 2024.
Cloudservices en API's: CISA documenteert IoT- en OT-authentication bypass in TCP-gebaseerde PLC's zonder authenticatie en Bluetooth debug UART (seriële interface) poorten.
Niet-beheerde BYOD-eindpunten: Gecompromitteerde persoonlijke apparaten kunnen volledig buiten de zichtbaarheid van de organisatie vallen.

Deze applicatiecategorieën verschijnen jaar na jaar op CISA's Known Exploited Vulnerabilities-lijst. De onderstaande incidenten tonen hoe uitbuiting eruitziet wanneer aanvallers succesvol toegang krijgen.

Praktijkvoorbeelden van Authentication Bypass

De volgende incidenten beslaan meerdere sectoren, aanvalsgroepen en bypass-typen. Elk illustreert hoe de eerder beschreven mechanismen leiden tot bevestigde impact op organisaties.

Citrix Bleed (CVE-2023-4966)

Een samengesteld HTTP GET-verzoek met een kwaadaardige Host-header zorgde ervoor dat Citrix NetScaler ADC- en Gateway-apparaten systeemgeheugen retourneerden met geldige sessiecookies. LockBit 3.0-affiliates en andere dreigingsgroepen gebruikten dit om geauthenticeerde sessies op te zetten zonder gebruikersnaam, wachtwoord of MFA-token. Uitbuiting begon voordat Citrix een patch uitbracht. Volgens CISA advisory observeerde GreyNoise aanhoudende massale uitbuiting.

MOVEit Transfer (CVE-2023-34362)

De Cl0p-ransomware-groep, door CISA gevolgd als TA505, maakte gebruik van een niet-geauthenticeerde SQL-injectie-kwetsbaarheid in Progress MOVEit Transfer weken voor publieke bekendmaking. De campagne trof uiteindelijk veel organisaties en individuen, volgens SecurityWeek.

Barracuda ESG (CVE-2023-2868)

UNC4841, een vermoedelijk door China gesponsorde groep volgens Mandiant, maakte maandenlang gebruik van een zero-day in Barracuda Email Security Gateway-apparaten voordat deze werd ontdekt. Barracuda vereiste fysieke vervanging van getroffen apparaten, volgens BleepingComputer.

Fortinet FortiOS (CVE-2022-40684)

Een niet-geauthenticeerde aanvaller kon bewerkingen uitvoeren op de administratieve interface via speciaal samengestelde HTTP/HTTPS-verzoeken. Fortinet bevestigde actieve uitbuiting rond het moment van publieke bekendmaking, volgens Hacker News. Configuraties van veel firewalls werden vervolgens via deze CVE gelekt.

Deze incidenten tonen aan hoe authentication bypass zich in de loop der tijd heeft ontwikkeld.

Authentication Bypass: Een tijdlijn

Authentication bypass wordt elk jaar hieronder actief uitgebuit, waarbij aanvallerstools en doelkeuze zich sneller aanpassen dan veel organisaties kunnen patchen. De tijdlijn volgt de belangrijkste gebeurtenissen die deze dreigingscategorie sinds 2010 hebben gevormd.

Jaar	Gebeurtenis
2010	Stuxnet maakt gebruik van hard-coded credentials (CVE-2010-2772) in SCADA-systemen en toont authentication bypass als wapen in statelijke cyberoperaties.
2018	CVE-2018-13379 (Fortinet FortiOS SSL VPN) wordt bekendgemaakt. Het wordt een van de meest uitgebuite kwetsbaarheden van de daaropvolgende vijf jaar, verschijnt jaarlijks op CISA's meest uitgebuite lijsten tot 2023 en wordt wereldwijd gebruikt in APT- en ransomwarecampagnes.
2019	CVE-2019-11510 (Ivanti Pulse Connect Secure) en CVE-2019-19781 (Citrix ADC/Gateway) worden bekendgemaakt. Beide worden jarenlang vaste waarden op CISA's meest uitgebuite lijsten en worden actief gebruikt in ransomwarecampagnes gericht op overheid en kritieke infrastructuur.
2021	CVE-2021-22893 scoort CVSS 10.0 voor niet-geauthenticeerde remote code execution op Pulse Connect Secure gateways. CISA en Ivanti ondersteunen meerdere entiteiten na bevestigde uitbuiting.
2022	CISA geeft Emergency Directive ED 22-03 uit voor VMware Workspace ONE Access authentication bypass (CVE-2022-22972). Fortinet's CVE-2022-40684 wordt uitgebuit op de dag van bekendmaking.
2023	Citrix Bleed, MOVEit, Barracuda ESG en Cisco IOS XE zero-days treffen gezamenlijk veel organisaties in diverse sectoren.
2024	Ivanti Connect Secure vier-CVE-keten leidt ertoe dat CISA "onacceptabel risico" voor federale instanties verklaart via Emergency Directive ED 24-01. CVE-2024-3400 (PAN-OS GlobalProtect) scoort CVSS 10.0 als zero-day.
2025	NIST SP 800-63-4 vervangt SP 800-63-3 (1 augustus 2025), met updates voor authenticatie assurance levels en federatiecontroles NIST 63B-4. OWASP Top 10 wijst A07:2025 Authentication Failures aan. CISA BOD 25-01 stelt cloudbeveiligingsbaselines vast.
2026	CWE-288 (alternatief pad bypass) blijft voorkomen in nieuwe CISA KEV-toevoegingen, waaronder bevestigde kwetsbaarheden in enterprise messaging, SD-WAN en endpoint management-producten.

Het patroon in deze tijdlijn is consistent: authentication bypass groeit in omvang en ernst naarmate aanvallers bekende technieken toepassen op nieuwe producten en platforms. Effectieve verdediging vereist gelaagde benaderingen.

Hoe Authentication Bypass te detecteren

Het vinden van deze bypasses vereist meerdere methoden, omdat geen enkele aanpak elke variant detecteert. U dient deze methoden gelijktijdig toe te passen.

Aanvalspatroonherkenning

U heeft aparte detectielogica nodig voor elk aanvalstype. Eén per-account lockoutbeleid detecteert brute force, maar niet password spraying:

Brute force: Hoog aantal mislukte pogingen op één account.
Credential stuffing: Mislukkingen verspreid over veel accounts die overeenkomen met bekende datalekken.
Password spraying: Laag aantal mislukte pogingen verspreid over veel accounts met één zwak wachtwoord. Dit ontwijkt per-account lockoutdrempels volledig.

Het onderhouden van aparte detectielogica voor elk patroon is het uitgangspunt. Vertrouwen op één drempel betekent dat elk aanvalstype buiten die drempel onopgemerkt blijft.

Gedrags- en risicosignaalanalyse

Adaptieve authenticatie past vereisten dynamisch aan op basis van de logincontext. De OWASP MFA guide adviseert het monitoren van risicosignalen zoals geolocatie, IP-reputatie, device fingerprinting, tijdstip van toegang en bekende gecompromitteerde inloggegevens in de authenticatiestroom. Deze signalen moeten realtime toegangssturing voeden, waarbij step-up authenticatie wordt afgedwongen in plaats van alleen achteraf waarschuwingen te genereren.

Sessietokenmonitoring

Let op indicatoren zoals beschreven in de OWASP session guide:

Sessietoken hergebruik vanaf een ander IP dan de oorspronkelijke authenticatie
Gelijktijdige actieve sessies vanaf verschillende eindpunten voor hetzelfde account
Sessieactiviteit die doorgaat na uitloggen of verwachte vervaldatum
Wachtwoord- of e-mailwijzigingen zonder voorafgaande reauthenticatie

Deze signalen zijn het nuttigst wanneer ze over sessies heen worden gecorreleerd in plaats van afzonderlijk geëvalueerd. Een sessie-IP-wijziging is routine in een mobiele omgeving; een sessie-IP-wijziging gecombineerd met een privilege-escalatiepoging binnen dezelfde sessie is dat niet.

Monitoring van reauthenticatiegaten

Monitor applicatielogs op risicovolle gebeurtenissen die worden voltooid zonder voorafgaande reauthenticatie in dezelfde sessie. Dit omvat MFA-factorwijzigingen zonder reauthenticatie, nieuwe apparaatlogins zonder extra factoruitdagingen en accountherstelprocessen zonder step-up verificatie.

Kwetsbaarheidsscanning gekoppeld aan Authentication Bypass CWE's

Abonneer u op CISA bulletins en koppel elke gepubliceerde authentication bypass CVE, CWE-287, CWE-288, CWE-302, CWE-303 en CWE-306 aan uw asset-inventaris voor prioritaire patching.

Gestructureerd penetratietesten

De OWASP WSTG 4.4 definieert gestructureerde authenticatietestcases. U dient WSTG 4.4.4, bypassing authentication schema, WSTG 4.4.11, multi-factor authentication bypass, en WSTG 4.4.10, zwakkere authenticatie in alternatieve kanalen, als verplichte scope-items op te nemen in elke security assessment.

Alleen het vinden van deze kwetsbaarheden is onvoldoende. U moet voorkomen dat deze bypasses überhaupt bestaan.

Hoe Authentication Bypass te voorkomen

Preventie vereist controles op elk niveau: standaardconformiteit, authenticatiearchitectuur, secure coding, sessiebeheer en continue validatie.

Implementeer phishing-resistente MFA

Implementeer FIDO2/WebAuthn hardware tokens of passkeys als uw primaire MFA-mechanisme. De OWASP MFA guide adviseert het blokkeren van legacy authenticatieprotocollen, afdwingen van moderne OAuth2 of SAML, en het vereisen van reauthenticatie met een bestaande geregistreerde factor voordat MFA-factorwijzigingen worden toegestaan. Vertrouw nooit alleen op de actieve sessie voor factorwijzigingen, omdat de sessie zelf gekaapt kan zijn.

Stem af op NIST SP 800-63-4

De SP 800-63-suite is vervangen door SP 800-63-4 per 1 augustus 2025 NIST 63B-4. NIST 63B-4 definieert bijgewerkte Authentication Assurance Levels:

AAL1: Enkelvoudige factor authenticatie.
AAL2: Twee factoren met goedgekeurde cryptografische technieken.
AAL3: Synchroniseerbare authenticators verboden NIST 63B-4.

Organisaties die onder federale standaarden vallen, dienen hun authenticatie-implementaties af te stemmen op het juiste assurance level voordat de technische controles hieronder worden geëvalueerd.

Handhaaf secure coding practices

De OWASP coding guide specificeert controles die direct authentication bypass voorkomen:

Centraliseer authenticatielogica. Scheid deze van de opgevraagde bron om alternatief pad bypass (CWE-288) te voorkomen.
Ontwerp om veilig te falen. Alle authenticatiecontroles moeten toegang weigeren bij falen, niet toestaan.
Handhaaf pariteit op administratieve functies. Admin-interfaces moeten minstens zo veilig zijn als primaire authenticatie.
Normaliseer foutmeldingen. Authenticatiefoutmeldingen mogen niet aangeven welk veld onjuist was, om accountenumeratie te voorkomen.

Deze controles richten zich op de authenticatiepoort zelf. De onderstaande sectie behandelt wat er direct na authenticatie gebeurt: sessiebeheer.

Versterk sessiebeheer

Implementeer controles uit de OWASP session guide:

Gebruik niet-persistente cookies voor sessiebeheer.
Geef verschillende sessie-ID's uit voor en na authenticatie om sessie-fixatie (CWE-384) te voorkomen.
Implementeer initiële login timeouts die sessie-ID-vernieuwing afdwingen.
Vereis reauthenticatie voor wachtwoordwijzigingen, e-mailwijzigingen, nieuwe apparaatlogins en accountherstelprocessen.

Het versterken van de sessielaag stopt post-authenticatie bypassvarianten zoals sessie-fixatie en token-replay. De volgende verdedigingslaag gaat verder: elke geauthenticeerde sessie standaard als onbetrouwbaar behandelen.

Implementeer Zero Trust Authenticatie

Afgeleid van NIST 800-207 en de GSA ZTA Guide:

Continue validatie: Verwerp de aanname dat een succesvol geauthenticeerde gebruiker gedurende de sessie te vertrouwen is.
Assume-breach houding: Ontwerp systemen met de aanname dat een dreigingsactor al op het netwerk aanwezig is.

Beide principes zijn direct van toepassing op federatieve identiteitsomgevingen, waar authenticatievertrouwen over organisatiegrenzen heen wordt uitgebreid en extra technische waarborgen vereist zijn om betrouwbaar te blijven.

Beveilig federatie-asserties

NIST 63C-4 vereist back-channel assertiepresentatie, onvoorspelbare sessiekoppelingswaarden, RP-naar-IdP-authenticatie en afdwingen van minimale assurance level-drempels. Dit zijn normatieve "shall"-vereisten, geen optionele controles.

Preventie en detectie werken het beste met speciaal daarvoor ontwikkelde tools.

Tools voor detectie en preventie

Het stoppen van authentication bypass vereist tools die het volledige aanvalsoppervlak dekken: eindpunten, identiteitsinfrastructuur, netwerkedges en cloudservices.

Kwetsbaarheidsscanning en assessment

Scan uw omgeving regelmatig op CISA KEV-items en koppel authentication bypass CVE's aan uw asset-inventaris.

Identity Threat Detection and Response (ITDR)

Specifieke ITDR-oplossingen monitoren Active Directory, Entra ID en identity provider-logs op credentialmisbruik, onmogelijk reizen, privilege-escalatie en sessie-anomalieën. Het correleren van authenticatiegebeurtenissen met endpoint- en netwerkactiviteit geeft u cross-layer zichtbaarheid om bypasses onder de MFA-laag te vinden.

Extended Detection and Response (XDR)

Authentication bypass-aanvallen doorkruisen meerdere lagen: credentialdiefstal op het endpoint, laterale beweging over het netwerk en cloudtoegang. XDR-platforms die deze telemetriebronnen samenbrengen in één onderzoekconsole elimineren de kloof tussen waar een bypass ontstaat en waar deze schade veroorzaakt.

AI-gedreven onderzoek en respons

Behavioral AI die authenticatiepatronen, identiteitsgedrag en toegangsafwijkingen realtime analyseert, detecteert credentialcompromittering sneller dan handmatige loganalyse. Autonome responsmogelijkheden, zoals het isoleren van gecompromitteerde identiteiten, intrekken van actieve sessies en stoppen van laterale beweging zonder menselijke tussenkomst, verkorten de verblijftijd van aanvallers.

Gerelateerde kwetsbaarheden

Authentication bypass deelt hoofdoorzaken, aanvalsketens en uitbuitingspatronen met verschillende gerelateerde kwetsbaarheidsklassen:

Broken Access Control (OWASP A01:2025): Forced browsing en parameter-tampering varianten van authentication bypass overlappen met access control-fouten. Het verschil is dat authentication bypass identiteitverificatie overslaat, terwijl broken access control autorisatiecontroles overslaat nadat identiteit is vastgesteld.
SQL-injectie: Niet-geauthenticeerde SQL-injectie, zoals aangetoond door de MOVEit Transfer-campagne (CVE-2023-34362), kan authenticatie volledig omzeilen door databasequery's te manipuleren die loginlogica aansturen.
Server-Side Request Forgery (SSRF): CVE-2024-21893 in de Ivanti Connect Secure-keten was een SSRF in het SAML-component, gebruikt naast authentication bypass voor volledige compromittering.
Path Traversal: CVE-2018-13379 (Fortinet FortiOS) gebruikte path traversal om inloggegevens in platte tekst te downloaden, waardoor authentication bypass als tweede-orde effect mogelijk werd.
Sessie-kaping: Sessie-fixatie (CWE-384) en token-replay (CWE-294) zijn authentication bypass-subtypen die de post-authenticatiesessielaag uitbuiten in plaats van het loginproces zelf.
Privilege-escalatie: Authentication bypass wordt vaak gekoppeld aan privilege-escalatie. De Cisco IOS XE-aanval (CVE-2023-20198 + CVE-2023-20273) ging van authentication bypass naar roottoegang en backdoor-installatie in één keten.

Het begrijpen van deze relaties is nuttig bij zowel dreigingsmodellering als actieve incidentrespons. Wanneer authentication bypass in een omgeving wordt bevestigd, moeten bovenstaande kwetsbaarheidsklassen worden geëvalueerd als potentiële co-exploits in plaats van als afzonderlijke, niet-gerelateerde issues.

Gerelateerde CVE's

CVE-ID	Beschrijving	Ernst	Getroffen product	Jaar
CVE-2026-1603	Authentication bypass via alternatief pad in Ivanti Endpoint Manager stelt ongeauthenticeerde externe aanvallers in staat opgeslagen credentialdata te lekken. (CISA KEV 2026-03-09)	Kritiek (CWE-288)	Ivanti Endpoint Manager	2026
CVE-2026-20079	Authentication bypass via onjuist boot-time proces in Cisco Secure Firewall Management Center webinterface stelt ongeauthenticeerde externe aanvallers in staat scripts uit te voeren en roottoegang te verkrijgen op getroffen apparaten.	Kritiek (CWE-288)	Cisco Secure Firewall Management Center	2026
CVE-2025-0108	Ontbrekende authenticatie voor kritieke functie in Palo Alto Networks PAN-OS managementinterface stelt ongeauthenticeerde aanvallers in staat PHP-scripts aan te roepen en systeemintegriteit en vertrouwelijkheid te beïnvloeden. (CISA KEV)	Kritiek (CWE-306)	Palo Alto Networks PAN-OS	2025
CVE-2025-24472	Authentication bypass via CSF-proxyverzoeken in Fortinet FortiOS/FortiProxy kan externe ongeauthenticeerde aanvallers met kennis van apparaatsserienummers super-adminrechten geven. (CISA KEV, ransomware-gerelateerd)	Kritiek (CWE-288)	Fortinet FortiOS / FortiProxy	2025
CVE-2025-21589	Authentication bypass via alternatief pad in Juniper Networks Session Smart Router stelt netwerkgebaseerde aanvallers in staat authenticatie te omzeilen en administratieve controle over het apparaat te verkrijgen.	9.8 Kritiek (CWE-288)	Juniper Networks Session Smart Router	2025
CVE-2025-4427	Authentication bypass in het API-component van Ivanti EPMM 12.5.0.0 en eerder; in het wild uitgebuit in combinatie met CVE-2025-4428 voor pre-authentication RCE. (CISA KEV)	5.3 Medium (CWE-288)	Ivanti Endpoint Manager Mobile	2025
CVE-2024-0012	Ontbrekende authenticatie voor kritieke functie in Palo Alto Networks PAN-OS managementinterface stelt ongeauthenticeerde aanvallers met netwerktoegang in staat beheerdersrechten te verkrijgen (Operation Lunar Peek). (CISA KEV, ransomware-gerelateerd)	Kritiek (CWE-306)	Palo Alto Networks PAN-OS	2024
CVE-2024-47575	Ontbrekende authenticatie voor kritieke functie in Fortinet FortiManager stelt ongeauthenticeerde aanvallers in staat willekeurige code of commando's uit te voeren via speciaal samengestelde verzoeken. (CISA KEV, ransomware-gerelateerd)	9.8 Kritiek (CWE-306)	Fortinet FortiManager	2024
CVE-2024-55591	Authentication bypass via Node.js WebSocket-module in Fortinet FortiOS/FortiProxy stelt externe aanvallers in staat super-adminrechten te verkrijgen via samengestelde verzoeken. (CISA KEV, ransomware-gerelateerd)	9.8 Kritiek (CWE-288)	Fortinet FortiOS / FortiProxy	2024
CVE-2024-53704	Onjuiste authenticatie in SonicWall SonicOS SSLVPN authenticatiemechanisme stelt externe aanvallers in staat authenticatie te omzeilen. (CISA KEV, ransomware-gerelateerd)	9.8 Kritiek (CWE-287)	SonicWall SonicOS SSLVPN	2024
CVE-2024-27198	Authentication bypass via alternatief pad in JetBrains TeamCity vóór 2023.11.4 stelt ongeauthenticeerde aanvallers in staat adminacties uit te voeren. (CISA KEV)	9.8 Kritiek (CWE-288)	JetBrains TeamCity	2024
CVE-2023-20198	Onbeschermd alternatief kanaal in Cisco IOS XE Software Web UI stelt ongeauthenticeerde externe aanvallers in staat bevoorrechte accounts aan te maken en volledige controle over getroffen apparaten te krijgen; actief uitgebuit als zero-day bij bekendmaking. (CISA KEV)	10.0 Kritiek (CWE-420)	Cisco IOS XE Software	2023
CVE-2023-46747	Ontbrekende authenticatie in F5 BIG-IP Configuration Utility stelt aanvallers met netwerktoegang tot de managementpoort in staat willekeurige systeemcommando's uit te voeren. (CISA KEV)	9.8 Kritiek (CWE-306)	F5 Networks BIG-IP	2023
CVE-2023-42793	Authentication bypass via alternatief pad in JetBrains TeamCity CI/CD-server maakt ongeautoriseerde toegang mogelijk; vermeld in CISA's 2023 Top Routinely Exploited Vulnerabilities. (CISA KEV)	Kritiek (CWE-288)	JetBrains TeamCity	2023
CVE-2023-29357	Onjuiste implementatie van authenticatie-algoritme in Microsoft SharePoint Server maakt authentication bypass mogelijk; bevestigd ransomware-geassocieerd in CISA KEV. (CISA KEV, ransomware-gerelateerd)	Kritiek (CWE-303)	Microsoft SharePoint Server	2023
CVE-2022-40684	Authentication bypass via alternatief pad in Fortinet FortiOS, FortiProxy en FortiSwitchManager stelt ongeauthenticeerde externe aanvallers in staat administratieve bewerkingen uit te voeren via samengestelde HTTP/HTTPS-verzoeken. (CISA KEV)	9.8 Kritiek (CWE-288)	Fortinet FortiOS / FortiProxy / FortiSwitchManager	2022
CVE-2022-1388	Ontbrekende authenticatie in F5 BIG-IP iControl REST stelt ongeauthenticeerde aanvallers met netwerktoegang in staat willekeurige commando's met verhoogde rechten uit te voeren. (CISA KEV)	9.8 Kritiek (CWE-306)	F5 Networks BIG-IP	2022
CVE-2022-22972	Onjuiste authenticatie in VMware Workspace ONE Access, Identity Manager en vRealize Automation stelt een netwerktoegankelijke aanvaller in staat administratieve toegang te verkrijgen zonder inloggegevens. (CISA KEV)	9.8 Kritiek (CWE-287)	VMware Workspace ONE Access / Identity Manager	2022
CVE-2022-21587	Ontbrekende authenticatie voor kritieke functie in Oracle E-Business Suite Web Applications Desktop Integrator stelt ongeauthenticeerde netwerk-aanvallers in staat het getroffen systeem volledig te compromitteren. (CISA KEV)	9.8 Kritiek (CWE-306)	Oracle E-Business Suite	2022
CVE-2021-20021	Ontbrekende authenticatie in SonicWall Email Security 10.0.9.x stelt aanvallers in staat een beheerdersaccount aan te maken via een samengesteld HTTP-verzoek. (CISA KEV, ransomware-gerelateerd)	9.8 Kritiek (CWE-306)	SonicWall Email Security	2021
CVE-2021-40539	REST API authentication bypass in Zoho ManageEngine ADSelfService Plus versie 6113 en eerder maakt remote code execution mogelijk; CISA KEV getiteld "Authentication Bypass Vulnerability." (CISA KEV, ransomware-gerelateerd)	9.8 Kritiek	Zoho ManageEngine ADSelfService Plus	2021
CVE-2021-35587	Eenvoudig uit te buiten kwetsbaarheid in Oracle Access Manager stelt ongeauthenticeerde aanvallers met HTTP-netwerktoegang in staat Oracle Access Manager volledig te compromitteren. (CISA KEV)	9.8 Kritiek (CWE-306)	Oracle Access Manager	2021
CVE-2021-22893	Use-after-free in Ivanti Pulse Connect Secure stelt externe ongeauthenticeerde aanvallers in staat code uit te voeren via licentieservices; uitgebuit tegen US Defense Industrial Base-netwerken. (CISA KEV, ransomware-gerelateerd)	10.0 Kritiek (CWE-416/287)	Ivanti Pulse Connect Secure	2021
CVE-2021-37415	Ontbrekende authenticatie voor kritieke functie in Zoho ManageEngine ServiceDesk Plus vóór 11302 stelt REST API-endpoints open zonder authenticatie. (CISA KEV)	9.8 Kritiek (CWE-306)	Zoho ManageEngine ServiceDesk Plus	2021
CVE-2020-6287	SAP NetWeaver AS Java LM Configuration Wizard voert geen authenticatiecontrole uit, waardoor ongeauthenticeerde aanvallers beheerdersgebruikers kunnen aanmaken ("RECON"-kwetsbaarheid). (CISA KEV)	10.0 Kritiek (CWE-306)	SAP NetWeaver Application Server Java	2020
CVE-2020-10148	Authentication bypass in de SolarWinds Orion API stelt externe ongeauthenticeerde aanvallers in staat API-commando's uit te voeren, wat kan leiden tot volledige compromittering van de Orion-instantie. (CISA KEV)	9.8 Kritiek (CWE-306/288)	SolarWinds Orion Platform	2020
CVE-2020-12812	Onjuiste authenticatie in Fortinet FortiOS SSL VPN stelt gebruikers in staat multi-factor authenticatie (FortiToken) te omzeilen door de hoofdlettergevoeligheid van hun gebruikersnaam te wijzigen. (CISA KEV)	9.8 Kritiek (CWE-287)	Fortinet FortiOS SSL VPN	2020
CVE-2020-6207	Ontbrekende authenticatie in SAP Solution Manager User Experience Monitoring resulteert in volledige compromittering van alle SMDAgents verbonden met de Solution Manager. (CISA KEV)	9.8 Kritiek (CWE-306)	SAP Solution Manager	2020
CVE-2020-13927	Standaardconfiguratie van Apache Airflow's Experimental API accepteert alle API-verzoeken zonder authenticatie, waardoor ongeauthenticeerde externe toegang tot kritieke workflowfuncties mogelijk is. (CISA KEV)	9.8 Kritiek (CWE-306)	Apache Airflow	2020
CVE-2019-11510	Pre-authentication arbitrary file read in Ivanti Pulse Connect Secure VPN stelt ongeauthenticeerde externe aanvallers in staat sessiecredentialbestanden te lezen. (CISA KEV)	10.0 Kritiek (CWE-22)	Ivanti Pulse Connect Secure	2019
CVE-2018-13379	Path traversal in Fortinet FortiOS SSL VPN webportal stelt ongeauthenticeerde aanvallers in staat systeembestanden, waaronder VPN-credentialstores, te downloaden. (CISA KEV, ransomware-gerelateerd)	9.8 Kritiek (CWE-22)	Fortinet FortiOS SSL VPN	2018

Conclusie

Authentication bypass verwijdert de identiteitscontrole tussen buitenstaanders en vertrouwde gebruikers. Zodra aanvallers die grens overschrijden, kunnen ze accounts overnemen, administratieve toegang verkrijgen, lateraal bewegen, data stelen en ransomware uitrollen. U verkleint dat risico door authenticatiestromen te versterken, sessies te beveiligen, elk toegangspad te valideren en tools te gebruiken die identiteit, endpoint- en netwerkactiviteit verbinden.

Veelgestelde vragen

Authentication bypass is een fout waardoor een aanvaller toegang krijgt tot een systeem zonder geldige inloggegevens. In de praktijk kan de applicatie een inlogcontrole overslaan, gemanipuleerde client-side data vertrouwen, een gestolen sessie accepteren of een alternatieve route blootstellen die nooit is beveiligd.

Het wordt vaak gegroepeerd onder CWE-287 en gerelateerde zwaktes zoals ontbrekende authenticatie, alternate-path bypass en session fixation.

Ja. Authentication bypass valt voornamelijk onder A07:2025. Sommige varianten, zoals forced browsing of parameter tampering, kunnen ook overlappen met broken access control. Als een gebruiker beschermde functionaliteit kan bereiken zonder de bedoelde identiteitscontroles, valt het probleem onder de categorie authenticatiefouten van OWASP.

Ja. Veel gevallen met een hoge ernstgraad zijn op afstand uit te buiten op systemen die aan het internet zijn blootgesteld, zoals VPN's, webapplicaties en beheerinterfaces.

Als het lek zich bevindt in een via het netwerk toegankelijke inlogprocedure, API of een ander kanaal, heeft een aanvaller soms niet meer nodig dan bereikbaarheid tot de dienst. Daarom komen edge-apparaten en platforms voor externe toegang zo vaak voor in grootschalige exploitatiecampagnes.

De grootste blootstelling zit meestal in internetgerichte diensten: VPN's, edge-apparaten, webapplicaties, clouddiensten, API's en identity-infrastructuur. Beheerinterfaces en secundaire kanalen zijn extra risicovol omdat ze vaak later worden toegevoegd en mogelijk niet dezelfde controles erven als het primaire inlogpad.

Niet-beheerde apparaten creëren ook blinde vlekken wanneer gecompromitteerde inloggegevens worden gebruikt.

Aanvallers zoeken meestal naar inconsistenties. Ze inventariseren directories en API's, onderzoeken alternatieve routes, testen sessiegedrag en vergelijken hoe verschillende interfaces authenticatie afdwingen. Openbare CVE-meldingen helpen hen ook om zich te richten op specifieke producten en patronen.

In andere gevallen worden eerder gestolen inloggegevens of tokens gebruikt om te zien of zwakke herstel- of sessiebeheerprocessen kunnen worden misbruikt.

Veelvoorkomende waarschuwingssignalen zijn wachtwoord- of e-mailwijzigingen zonder herauthenticatie, sessiehergebruik vanaf een ander IP, gelijktijdige sessies voor hetzelfde account, inloggen op nieuwe apparaten zonder extra verificatie en wijzigingen in MFA-factoren zonder een nieuwe identiteitscontrole.

Laagfrequente fouten verspreid over veel accounts kunnen ook wijzen op password spraying in plaats van gewone inlogfouten.

Het is een van de meest impactvolle kwetsbaarheidsklassen omdat het de controle kan verwijderen die buitenstaanders van vertrouwde gebruikers scheidt. Zodra die barrière faalt, kunnen aanvallers direct overgaan tot accountovername, beheertoegang, laterale beweging en ransomware-activiteiten.

De voorbeelden in dit artikel tonen aan dat authentication bypass regelmatig voorkomt in kritieke CVE's en exploitketens met grote impact.

Ja. Authentication bypass is vaak de eerste schakel in een grotere aanvalsketen. Na initiële toegang kunnen aanvallers inloggegevens verzamelen, rechten verhogen, lateraal bewegen, data exfiltreren of ransomware inzetten.

In gekoppelde campagnes is de bypass zelf niet het einddoel; het is de snelweg die de aanvaller een vertrouwd startpunt binnen de omgeving geeft.

Niet altijd. Bekende ontbrekende-authenticatieproblemen en blootgestelde endpoints zijn vaak te identificeren met scanners, maar logische fouten, alternatieve paden en sessiemisbruik zijn moeilijker automatisch te detecteren.

Daarom is gelaagde analyse belangrijk: kwetsbaarheidsscans, gedragsanalyse, sessiebewaking en gestructureerd testen vinden elk andere delen van het probleem.

Productie, gezondheidszorg, overheid, financiën en kritieke infrastructuur lopen allemaal verhoogd risico volgens de hier aangehaalde rapportages. De gemene deler is afhankelijkheid van internetgerichte diensten, identity-systemen en operationele continuïteit.

Waar aanvallers één bypass kunnen omzetten in datadiefstal, verstoring of ransomwaretoegang, wordt de zakelijke impact bijzonder ernstig.