领先的身份和访问管理平台 Okta 最近宣布了一项关键安全更新,以解决其 Active Directory (AD) 和轻量级目录访问协议 (LDAP) 委托身份验证机制中的漏洞。
该漏洞已在内部发现并于 2024 年 10 月 30 日得到解决,这引起了依赖 Okta 进行安全用户身份验证的组织的担忧。
因为它可能会在某些条件下允许未经授权的访问。
使用长秘密不安全?
该漏洞出现在 Okta 的缓存机制中,具体来说,它使用 Bcrypt 算法为 AD/LDAP 委托身份验证 (DelAuth) 生成缓存密钥。
当在特定情况下使用超长用户名(52 个字符或以上)时,它为用户提供了一个机会,让用户使用之前会话中存储的缓存密钥进行身份验证。
这意味着,在满足某些条件的情况下,用户可以登录,而基本上不需要重新进行身份验证检查。
为了利用此漏洞,必须满足几个因素,包括:
-
已启用 AD/LDAP 委派身份验证;
-
未使用多因素身份验证 (MFA);
-
用户之前已使用超过 52 个字符的用户名进行身份验证;
-
由于停机或网络流量过大,AD/LDAP 代理暂时无法访问。
Okta 表示,该漏洞可能在 2024 年 7 月 23 日至 10 月 30 日期间影响了有限数量的用户,该时间段是漏洞出现并最终得到解决的时间范围。
此后,Okta 已从 Bcrypt 转向更合适的加密算法 PBKDF2,以防止将来出现缓存密钥不一致的情况。
Okta 敦促符合此漏洞前提条件的客户检查其 Okta 系统日志,以查找在指定时间段内涉及用户名长度超过 52 个字符的任何意外身份验证。
Okta 还强调在所有应用程序中启用 MFA 的重要性,并鼓励用户实施防网络钓鱼身份验证器,例如 Okta Verify FastPass、FIDO2 WebAuthn 或 PIV/CAC 智能卡,以增强安全性。
Okta 产品的更多修复
除了 DelAuth 缓存密钥漏洞外,Okta 还解决了另一个安全漏洞CVE-2024-9191,该漏洞影响通过 Okta Verify Desktop MFA 进行的 Windows 无密码登录。
此漏洞是在常规渗透测试期间发现的,可能允许受感染设备上的攻击者检索无密码登录过程中使用的凭据。
该问题影响了 Okta Verify for Windows 版本 5.0.2 至 5.3.2 的用户。
Okta 建议使用受影响版本的客户升级到 Okta Verify 5.3.3 或更高版本,其中包含针对该漏洞的补丁。
重要的是,只有使用 Okta Device Access 无密码功能的用户才会面临风险,因为其他配置和平台不受影响。
另一个最近披露的、影响“经典”配置用户的 Okta 漏洞也值得调查。
这个单独的问题已于 10 月初得到解决,它可能会允许拥有有效凭证的攻击者绕过针对高敏感度应用程序的特定登录策略。
原文始发于微信公众号(网络研究观):Okta 漏洞可能允许身份验证绕过
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论