Vulnerabilità in Okta: allerta per gli utenti con nomi lunghi
Un recente avviso di sicurezza di Okta ha rivelato una falla che potrebbe aver consentito a malintenzionati di bypassare l'autenticazione delegata AD/LDAP (DelAuth) utilizzando esclusivamente un nome utente. Questa notizia è particolarmente preoccupante per chi ha nomi utente lunghi, poiché la vulnerabilità si attiva solo in determinate circostanze, tra cui la presenza di un nome utente di 52 caratteri o più.
Le condizioni della vulnerabilità
La condizione relativa alla lunghezza del nome utente è la più insolita, ma non impossibile, specialmente se un indirizzo email lavorativo viene utilizzato come nome utente. Inoltre, l'exploit avrebbe funzionato solo se l'account mirato avesse già registrato un tentativo di accesso riuscito, incluso il cache key associato generato dall'algoritmo bcrypt. Secondo Okta, questa chiave consiste in una stringa hash contenente l'ID utente, il nome utente e la password.
Altre condizioni necessarie
Per attivare la vulnerabilità, era necessario che:
- La cache fosse utilizzata per prima, il che può accadere se l'agente AD/LDAP era inattivo o non raggiungibile, ad esempio, a causa di un elevato traffico di rete.
- L'autenticazione a più fattori (MFA) fosse disabilitata o mai implementata.
Okta ha scoperto il problema il 30 ottobre e lo ha risolto lo stesso giorno, dopo che era rimasto attivo per oltre tre mesi. La società ha consigliato ai clienti di controllare i registri per eventuali tentativi di autenticazione con nomi utente di 52 caratteri o più risalenti al 23 luglio. Non è stato specificato se ci siano stati tentativi di sfruttamento riusciti.
Raccomandazioni di sicurezza
In aggiunta, Okta ha raccomandato a tutti i clienti di implementare l'MFA come minimo. La società ha anche incoraggiato fortemente l'uso di autenticatori resistenti al phishing, come Okta Verify FastPass, FIDO2 WebAuthn o PIV/CAC Smart Cards, e di applicare misure di resistenza al phishing per l'accesso a tutte le applicazioni.
Commento degli esperti
Yan Zhu, ingegnere della sicurezza di Brave, ha sottolineato che l'algoritmo bcrypt ignora l'input oltre una certa lunghezza. Se bcrypt viene utilizzato per hashare una coppia di nome utente e password, un nome utente sufficientemente lungo potrebbe accettare qualsiasi password. Zhu ha suggerito che l'uso dell'algoritmo SHA-256 potrebbe mitigare questo problema.