Как стать автором
Обновить

Ошибка входа в учётку Okta позволяла обойти проверку пароля при вводе имени пользователя с более чем 52 символами

Время на прочтение2 мин
Количество просмотров7.2K

Ошибка входа в учётную запись Okta (облачный сервис, который позволяет управлять удостоверениями и доступом) позволяла обойти проверку пароля при вводе имени пользователя с более чем 52 символами. В компании признали, что баг в течение трёх месяцев можно было использовать для доступа к учётным записям клиентов, у которых имена были очень длинными.

Okta пояснила, что при определённых обстоятельствах кто-то мог войти в систему, введя что угодно в качестве пароля, но только если имя пользователя учётной записи содержало более 52 символов. Другие требования для эксплуатации этой уязвимости включали проверку Okta кэша с предыдущего успешного входа и то, что политика аутентификации организации не добавляла дополнительных условий, таких как требование многофакторной аутентификации (MFA).

«30 октября 2024 года была обнаружена внутренняя уязвимость при генерации ключа кэша для AD/LDAP DelAuth. Алгоритм Bcrypt использовался для генерации ключа кэша, где мы хэшировали объединённую строку идентификатора пользователя + имени пользователя + пароля. При определённых условиях это может позволить пользователям проходить аутентификацию, предоставляя только имя пользователя с сохранённым ключом кэша предыдущей успешной аутентификации. Уязвимость может быть использована, если агент не работает и недоступен или если трафик высок. Это приведёт к тому, что DelAuth сначала попадёт в кэшр», — уточнили в Okta.

Согласно примечанию компании, уязвимость присутствовала с момента обновления 23 июля, пока не была устранена путём переключения криптографического алгоритма с Bcrypt на PBKDF2. После того, как уязвимость была обнаружена внутри компании, Okta не сразу отреагировала на запрос о дополнительных подробностях, но сообщила, что клиенты, чьи настройки соответствуют необходимым условиям, должны проверить системные журналы за три месяца. В компании по этому инциденту оповестили всех клиентов с именами пользователей более чем 52 символа.

Теги:
Хабы:
Всего голосов 3: ↑3 и ↓0+3
Комментарии25

Другие новости

Истории

Работа

Ближайшие события

2 – 18 декабря
Yandex DataLens Festival 2024
МоскваОнлайн
11 – 13 декабря
Международная конференция по AI/ML «AI Journey»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань