Грешката засягаше акаунти с 52-символни потребителски имена и имаше няколко предварителни условия, които трябваше да бъдат изпълнени, за да може да бъде използвана.
Okta е отстранила грешка при заобикаляне на удостоверяването, която засяга тези с дълги потребителски имена или работодатели с многословни имена на домейни.
Дупката в сигурността можеше да позволи на киберпрестъпниците да преминат през делегираното удостоверяване на Okta AD/LDAP (DelAuth), като използват само потребителско име. Тя обаче можеше да бъде използвана само ако бяха изпълнени редица условия, като едно от тези условия беше потребителско име, което има 52 или повече символа.
Макар и необичайно, някои хора предпочитат да използват имейл адресите си като потребителски имена, поради което възможността за потребителско име с 52 символа не е напълно изключена.
Други условия, които е трябвало да бъдат изпълнени, са били ако потребителят се е удостоверил преди това, създавайки кеш на удостоверяването; и ако кешът е бил използван първи, което може да се случи, „ако AD/LDAP агентът не работи или не може да бъде достигнат, например поради голям мрежов трафик“, според компанията за удостоверяване в своята консултация за дефекта.
Уязвимостта е открита от Okta на 30 октомври, след като се е крила в системата в продължение на три месеца. Макар че оттогава тя е отстранена, компанията препоръчва на клиентите си да проверят своите регистри за всякакви странни опити за удостоверяване, датиращи от 23 юли.
Okta също така препоръча на клиентите да приложат като минимум многофакторно удостоверяване (MFA), тъй като то не е било приложено като част от предварителните условия за експлоатация.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.