Okta ha risolto una grave vulnerabilità che consentiva di effettuare il login inserendo qualsiasi password. Il problema di sicurezza, scoperto dopo oltre tre mesi, riguardava gli account con username lunghi almeno 52 caratteri. L’azienda statunitense ha subito diversi attacchi di credential stuffing e un’intrusione nel sistema usato per il supporto clienti.
Accesso con password casuale per tre mesi
Okta ha confermato la vulnerabilità a fine ottobre e fornito ulteriori dettagli il 4 novembre. Nel bollettino di sicurezza è scritto che il bug era presente nel sistema di autenticazione delegata AD/LDAP, in particolare nella generazione della cache key con l’algoritmo Bcrypt.
Quest’ultima viene ottenuta a partire da userid, username e password, ma in alcune specifiche circostanze era possibile il login usando solo l’username e la cache key memorizzata dopo una precedente autenticazione. La vulnerabilità risale al 23 luglio, quindi è stata scoperta con oltre tre mesi di ritardo.
Il bug poteva essere sfruttato se l’username è lungo almeno 52 caratteri, non era attiva l’autenticazione multi-fattore e la cache è stata utilizzata quando l’agente AD/LDAP era down o irraggiungibile (ad esempio a causa del traffico di rete elevato). Se tutte queste condizioni erano rispettate, l’utente (o un malintenzionato) poteva accedere all’account con qualsiasi password.
Okta ha informato tutti gli utenti e consigliato di attivare l’autenticazione multi-fattore. La vulnerabilità è stata risolta sostituendo l’algoritmo Bcrypt con PBKDF2. L’azienda non ha comunicato che qualcuno ha sfruttato il bug per effettuare accessi non autorizzati.
Ti potrebbe interessare
5 nov 2024