An Okta login bug bypassed checking passwords on some long usernames
A vulnerabilidade foi corrigida agora, mas a Okta disse que durante três meses poderia ter sido usada para acessar contas com nomes de usuário com pelo menos 52 caracteres de comprimento.
Na noite de sexta-feira, a Okta publicou uma atualização estranha em sua lista de avisos de segurança. A última entrada revela que, sob circunstâncias específicas, alguém poderia ter feito login inserindo qualquer coisa como senha, mas apenas se o nome de usuário da conta tivesse mais de 52 caracteres.
De acordo com a nota que as pessoas relataram ter recebido, outros requisitos para explorar a vulnerabilidade incluíam a Okta verificando o cache de um login bem-sucedido anterior, e que a política de autenticação de uma organização não adicionasse condições extras, como exigir autenticação multifatorial (MFA).
Aqui estão os detalhes que estão atualmente disponíveis:
Em 30 de outubro de 2024, uma vulnerabilidade foi identificada internamente na geração da chave de cache para AD/LDAP DelAuth. O algoritmo Bcrypt foi usado para gerar a chave de cache onde nós hashamos uma string combinada de userId + username + password. Durante condições específicas, isso poderia permitir que usuários se autenticarem fornecendo apenas o nome de usuário com a chave de cache armazenada de uma autenticação bem-sucedida anterior.
A vulnerabilidade pode ser explorada se o agente estiver inativo e não puder ser acessado OU houver tráfego intenso. Isso resultará na DelAuth atingindo o cache primeiro.
De acordo com a nota, a falha esteve presente desde uma atualização em 23 de julho até ser resolvida pela troca do algoritmo criptográfico de Bcrypt para PBKDF2 após a vulnerabilidade ser identificada internamente. A Okta não respondeu imediatamente a um pedido de detalhes adicionais, mas diz que os clientes cujas configurações atendem às condições necessárias devem verificar aqueles três meses de logs do sistema.