Okta ha solucionado una preocupante vulnerabilidad de seguridad que podría haber permitido a los ciberdelincuentes iniciar sesión en las cuentas de las personas simplemente creando un nombre de usuario largo.
en un aviso de seguridadel gestión de identidad La firma dijo que inadvertidamente introdujo un error en su producto en julio de 2024 que permitía a las personas con nombres de usuario de más de 52 caracteres iniciar sesión sin proporcionar la contraseña correcta.
“El 30 de octubre de 2024, se identificó internamente una vulnerabilidad en la generación de la clave de caché para AD/LDAP DelAuth. El algoritmo Bcrypt se utilizó para generar la clave de caché donde aplicamos hash a una cadena combinada de ID de usuario + nombre de usuario + contraseña. Bajo un conjunto específico de condiciones, que se enumeran a continuación, esto podría permitir a los usuarios autenticarse proporcionando el nombre de usuario con la clave de caché almacenada de una autenticación exitosa anterior”, se lee en el aviso de seguridad.
Múltiples condiciones
Tener un nombre de usuario de 52 caracteres o más es solo una de las condiciones, señaló la compañía, ya que los usuarios también necesitarían tener autenticación delegada Okta AD/LDAP, no aplicar Ministerio de Asuntos Exterioresy necesitaría haber sido autenticado previamente, creando un caché de la autenticación.
“El caché se usó primero, lo que puede ocurrir si el agente AD/LDAP estaba inactivo o no se podía acceder a él, por ejemplo, debido al alto tráfico de la red”, concluyó el aviso.
Hasta el momento, no hay evidencia de que alguien haya abusado de la vulnerabilidad y, si bien puede parecer exagerado, explotarla podría en realidad ser bastante fácil, ya que los usuarios podrían tener sus direcciones de correo electrónico y el dominio del sitio web de su organización como nombre de usuario, lo que dificultaría las conjeturas. El nombre de usuario es algo simple.
Como resultado, Okta ahora advierte a sus usuarios que revisen los registros en busca de inicios de sesión sospechosos.
