В пятницу вечером компания Okta разместила необычное обновление в списке своих рекомендаций по безопасности. Новая запись показала, что в определённых условиях возможно было войти в систему, введя любой пароль, но только если имя учетной записи пользователя содержало более 52 символов.
Согласно заметке полученной некоторыми пользователями, для использования данной уязвимости требовалось, чтобы Okta использовала кэшированные данные с предыдущей успешной авторизации, а в политике аутентификации данной организации не было дополнительных условий, таких как многофакторная аутентификация (MFA).
Доступные на данный момент подробности:
30 октября 2024 года внутри компании была обнаружена уязвимость в генерации ключа кэша для AD/LDAP DelAuth. Для создания ключа кэша использовался алгоритм Bcrypt, который хэширует совокупность строк userId, username и password. При определённых условиях это позволяло пользователям аутентифицироваться, предоставляя только имя пользователя с сохранённым ключом кэша предыдущей успешной аутентификации.
Эксплуатация уязвимости возможна, если агент недоступен или перегружено высокими нагрузками. Это приводит к первичному обращению DelAuth к кэшу.
Позволять обход аутентификации для любых имен пользователей с более 52 символами — это поразительно
— Киннерд МакКуэйд ☁️ (@kmcquade3) 1 ноября 2024
Официальный совет по безопасности: https://t.co/3b4v30q53z pic.twitter.com/yD8FkgwSgs
Согласно заметке, уязвимость существовала с момента обновления от 23 июля и была исправлена заменой криптографического алгоритма с Bcrypt на PBKDF2 после внутренней идентификации проблемы. Okta не предоставила немедленного ответа на запрос дополнительных подробностей, но заявила, что клиенты, соответствующие указанным условиям, должны проверить три месяца системных логов.
