Una vulnerabilità scoperta dopo mesi di attacchi
Okta, una delle principali aziende nel settore della gestione delle identità, ha recentemente risolto una grave vulnerabilità di sicurezza che consentiva a malintenzionati di accedere a determinati account inserendo qualsiasi password. Questo problema è emerso dopo oltre tre mesi di attacchi di credential stuffing e un’intrusione nel sistema di supporto clienti dell’azienda. La vulnerabilità è stata confermata a fine ottobre, ma risale al 23 luglio, il che significa che è stata scoperta con un notevole ritardo.
Dettagli tecnici della vulnerabilità
Il bug riguardava gli account con username lunghi almeno 52 caratteri e si manifestava quando l’autenticazione multi-fattore non era attiva. In specifiche circostanze, era possibile effettuare il login utilizzando solo l’username e una cache key memorizzata da una precedente autenticazione.
Questo avveniva in situazioni in cui l’agente AD/LDAP era non disponibile, ad esempio a causa di un elevato traffico di rete. La vulnerabilità era presente nel sistema di autenticazione delegata AD/LDAP, in particolare nella generazione della cache key tramite l’algoritmo Bcrypt.
Risoluzione e raccomandazioni per gli utenti
Per risolvere il problema, Okta ha sostituito l’algoritmo Bcrypt con PBKDF2, un metodo di hashing più sicuro. L’azienda ha anche informato tutti gli utenti della vulnerabilità e ha raccomandato di attivare l’autenticazione multi-fattore per aumentare la sicurezza degli account. Sebbene non ci siano state segnalazioni di accessi non autorizzati sfruttando questa vulnerabilità, è fondamentale che gli utenti adottino misure di sicurezza adeguate per proteggere le proprie informazioni sensibili.