أدى خطأ في تسجيل الدخول إلى Okta إلى تجاوز التحقق من كلمات المرور على بعض أسماء المستخدمين الطويلة
رسم توضيحي بواسطة كاث فيرجينيا / ذا فيرج | صورة من Getty Images مساء الجمعة، نشرت أوكتا صورة غريبة تحديث لقائمة النصائح الأمنية الخاصة به. يكشف الإدخال الأخير أنه في ظل ظروف معينة، يمكن لشخص ما تسجيل الدخول عن طريق إدخال أي شيء لكلمة المرور، ولكن فقط إذا كان اسم مستخدم الحساب يحتوي على أكثر من 52 حرفًا. وفقا ل ملحوظة أبلغ الناس عن تلقيهم ، تتضمن المتطلبات الأخرى لاستغلال الثغرة الأمنية فحص Okta لذاكرة التخزين المؤقت من تسجيل دخول ناجح سابق، وأن سياسة المصادقة الخاصة بالمؤسسة لم تضيف شروطًا إضافية مثل طلب المصادقة متعددة العوامل (MFA). فيما يلي التفاصيل المتوفرة حاليًا: في 30 أكتوبر 2024، تم تحديد ثغرة أمنية داخليًا في إنشاء مفتاح ذاكرة التخزين المؤقت لـ AD/LDAP DelAuth. تم استخدام خوارزمية Bcrypt لإنشاء مفتاح ذاكرة التخزين المؤقت حيث نقوم بتجزئة سلسلة مجمعة من معرف المستخدم + اسم المستخدم + كلمة المرور. خلال ظروف محددة، قد يسمح هذا للمستخدمين بالمصادقة من خلال تزويد اسم المستخدم فقط بمفتاح ذاكرة التخزين المؤقت المخزن لمصادقة ناجحة سابقة. يمكن استغلال الثغرة الأمنية في حالة تعطل الوكيل ولا يمكن الوصول إليه أو في حالة وجود حركة مرور عالية. سيؤدي هذا إلى وصول DelAuth إلى ذاكرة التخزين المؤقت أولاً. Okta السماح بتجاوز تسجيل الدخول لأي أسماء مستخدمين تحتوي على أكثر من 52 حرفًا هو أمر جنوني
الاستشارة الأمنية الرسمية: https://t.co/3b4v30q53z pic.twitter.com/yD8FkgwSgs— كينيرد ماكويد ☁️ (@kmcquade3) 1 نوفمبر 2024
وفقًا للمذكرة، كان الخلل موجودًا منذ التحديث في 23 يوليو حتى تم حله عن طريق تحويل خوارزمية التشفير من Bcrypt إلى PBKDF2 بعد أن تم تحديد الثغرة الأمنية داخليًا. لم تستجب Okta على الفور لطلب الحصول على تفاصيل إضافية، ولكنها تقول إن العملاء الذين تستوفي إعداداتهم الشروط اللازمة يجب عليهم التحقق من سجلات النظام لمدة ثلاثة أشهر.
المصدر