UPGRD

Tutte le ultime notizie tech e non

sicurezza

Scoperta una vulnerabilità in Okta: a rischio gli utenti con nomi lunghi

By ,

Vulnerabilità in Okta: allerta per gli utenti con nomi lunghi

Un recente avviso di sicurezza di Okta ha rivelato una falla che potrebbe aver consentito a malintenzionati di bypassare l'autenticazione delegata AD/LDAP (DelAuth) utilizzando esclusivamente un nome utente. Questa notizia è particolarmente preoccupante per chi ha nomi utente lunghi, poiché la vulnerabilità si attiva solo in determinate circostanze, tra cui la presenza di un nome utente di 52 caratteri o più.

Le condizioni della vulnerabilità

La condizione relativa alla lunghezza del nome utente è la più insolita, ma non impossibile, specialmente se un indirizzo email lavorativo viene utilizzato come nome utente. Inoltre, l'exploit avrebbe funzionato solo se l'account mirato avesse già registrato un tentativo di accesso riuscito, incluso il cache key associato generato dall'algoritmo bcrypt. Secondo Okta, questa chiave consiste in una stringa hash contenente l'ID utente, il nome utente e la password.

Altre condizioni necessarie

Per attivare la vulnerabilità, era necessario che:

  • La cache fosse utilizzata per prima, il che può accadere se l'agente AD/LDAP era inattivo o non raggiungibile, ad esempio, a causa di un elevato traffico di rete.
  • L'autenticazione a più fattori (MFA) fosse disabilitata o mai implementata.

Okta ha scoperto il problema il 30 ottobre e lo ha risolto lo stesso giorno, dopo che era rimasto attivo per oltre tre mesi. La società ha consigliato ai clienti di controllare i registri per eventuali tentativi di autenticazione con nomi utente di 52 caratteri o più risalenti al 23 luglio. Non è stato specificato se ci siano stati tentativi di sfruttamento riusciti.

Raccomandazioni di sicurezza

In aggiunta, Okta ha raccomandato a tutti i clienti di implementare l'MFA come minimo. La società ha anche incoraggiato fortemente l'uso di autenticatori resistenti al phishing, come Okta Verify FastPass, FIDO2 WebAuthn o PIV/CAC Smart Cards, e di applicare misure di resistenza al phishing per l'accesso a tutte le applicazioni.

Commento degli esperti

Yan Zhu, ingegnere della sicurezza di Brave, ha sottolineato che l'algoritmo bcrypt ignora l'input oltre una certa lunghezza. Se bcrypt viene utilizzato per hashare una coppia di nome utente e password, un nome utente sufficientemente lungo potrebbe accettare qualsiasi password. Zhu ha suggerito che l'uso dell'algoritmo SHA-256 potrebbe mitigare questo problema.

 

FAQ

Qual è la vulnerabilità scoperta in Okta?

La vulnerabilità consente a malintenzionati di bypassare l'autenticazione delegata AD/LDAP utilizzando esclusivamente un nome utente, specialmente se il nome utente è lungo 52 caratteri o più.

Quali sono le condizioni necessarie per attivare questa vulnerabilità?

Per attivare la vulnerabilità, è necessario che la cache venga utilizzata per prima e che l'autenticazione a più fattori (MFA) sia disabilitata o mai implementata.

Quando è stata scoperta e risolta la vulnerabilità?

Okta ha scoperto la vulnerabilità il 30 ottobre e l'ha risolta lo stesso giorno, dopo che era rimasta attiva per oltre tre mesi.

Cosa consiglia Okta ai suoi clienti riguardo ai nomi utente lunghi?

Okta consiglia ai clienti di controllare i registri per eventuali tentativi di autenticazione con nomi utente di 52 caratteri o più risalenti al 23 luglio.

Quali misure di sicurezza raccomanda Okta?

Okta raccomanda di implementare l'autenticazione a più fattori (MFA) e di utilizzare autenticatori resistenti al phishing come Okta Verify FastPass, FIDO2 WebAuthn o PIV/CAC Smart Cards.

Cosa ha detto Yan Zhu riguardo all'algoritmo bcrypt?

Yan Zhu ha sottolineato che l'algoritmo bcrypt ignora l'input oltre una certa lunghezza, il che significa che un nome utente lungo potrebbe accettare qualsiasi password.

Qual è una possibile soluzione per mitigare il problema con bcrypt?

Zhu ha suggerito che l'uso dell'algoritmo SHA-256 potrebbe mitigare il problema legato all'input lungo in bcrypt.

Quali sono le implicazioni per gli utenti con nomi utente lunghi?

Gli utenti con nomi utente lunghi potrebbero essere a rischio di attacchi se non sono implementate adeguate misure di sicurezza come l'MFA.

Cosa significa 'cache key' in questo contesto?

La 'cache key' è una stringa hash generata dall'algoritmo bcrypt che contiene l'ID utente, il nome utente e la password, utilizzata per gestire i tentativi di accesso.

Ci sono stati tentativi di sfruttamento riusciti secondo Okta?

Non è stato specificato se ci siano stati tentativi di sfruttamento riusciti, ma Okta ha invitato i clienti a monitorare i registri per eventuali anomalie.