Компанія Okta, світовий лідер у сфері управління цифровими ідентифікаторами, виявила серйозну вразливість у своїй системі делегованої аутентифікації AD/LDAP DelAuth. Проблема дозволяла потенційним зловмисникам обходити механізми автентифікації через специфічну обробку довгих імен користувачів, створюючи значний ризик для корпоративної безпеки.
Технічний аналіз вразливості
Вразливість проявлялася при використанні облікових записів з іменами довжиною понад 52 символи. Ключовим фактором експлуатації виступав механізм кешування, що використовує алгоритм bcrypt для створення хешів на основі комбінації ідентифікатора користувача, логіна та пароля. Через особливості роботи bcrypt, система некоректно обробляла вхідні дані, що перевищували встановлений ліміт довжини.
Передумови для успішної експлуатації
Для реалізації атаки необхідна була наявність трьох критичних умов:
- Відсутність налаштованої багатофакторної аутентифікації
- Наявність попередньо закешованого успішного входу
- Недоступність або перевантаження AD/LDAP агента
Механізм реалізації атаки
При використанні достатньо довгого імені користувача система починала приймати будь-які паролі, що створювало критичну загрозу безпеці. Особливо вразливими виявилися системи, де в якості ідентифікаторів використовувалися email-адреси, оскільки вони часто перевищують критичну довжину в 52 символи.
Хронологія виявлення та усунення
Вразливість була присутня в системі з 23 липня 2024 року і була виявлена та усунута 30 жовтня 2024 року. Хоча компанія Okta не повідомила про підтверджені випадки експлуатації, період вразливості становив понад три місяці.
Для захисту від подібних загроз рекомендується обов’язково активувати багатофакторну аутентифікацію, регулярно проводити аудит систем безпеки та ретельно моніторити журнали доступу на предмет підозрілої активності. Організаціям, що використовують Okta DelAuth, необхідно провести ретельний аналіз логів за період з липня по жовтень 2024 року, звертаючи особливу увагу на спроби автентифікації з використанням довгих імен користувачів.
