Търсене
Close this search box.

Грешката засягаше акаунти с 52-символни потребителски имена и имаше няколко предварителни условия, които трябваше да бъдат изпълнени, за да може да бъде използвана.

Okta е отстранила грешка при заобикаляне на удостоверяването, която засяга тези с дълги потребителски имена или работодатели с многословни имена на домейни.

Дупката в сигурността можеше да позволи на киберпрестъпниците да преминат през делегираното удостоверяване на Okta AD/LDAP (DelAuth), като използват само потребителско име. Тя обаче можеше да бъде използвана само ако бяха изпълнени редица условия, като едно от тези условия беше потребителско име, което има 52 или повече символа.

Макар и необичайно, някои хора предпочитат да използват имейл адресите си като потребителски имена, поради което възможността за потребителско име с 52 символа не е напълно изключена.

Други условия, които е трябвало да бъдат изпълнени, са били ако потребителят се е удостоверил преди това, създавайки кеш на удостоверяването; и ако кешът е бил използван първи, което може да се случи, „ако AD/LDAP агентът не работи или не може да бъде достигнат, например поради голям мрежов трафик“, според компанията за удостоверяване в своята консултация за дефекта.

Уязвимостта е открита от Okta на 30 октомври, след като се е крила в системата в продължение на три месеца. Макар че оттогава тя е отстранена, компанията препоръчва на клиентите си да проверят своите регистри за всякакви странни опити за удостоверяване, датиращи от 23 юли.

Okta също така препоръча на клиентите да приложат като минимум многофакторно удостоверяване (MFA), тъй като то не е било приложено като част от предварителните условия за експлоатация.

 

Източник: DARKReading

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
Бъдете социални
Още по темата
11/12/2024

Atlassian и Splunk кърпят ...

Във вторник Atlassian и Splunk обявиха...
11/12/2024

SAP обяви пускането на 13 ...

Производителят на корпоративен софтуер SAP обяви...
10/12/2024

Ubisoft отстрани конфликти ...

Microsoft вече частично отмени блокирането на...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!