Scoperta Critica in Okta: Risolto Bug di Autenticazione Che Accettava Qualsiasi Password
Importante Aggiornamento di Sicurezza per gli Utenti Okta
Recentemente, Okta ha identificato una criticità nel suo framework di sicurezza, particolarmente nel sistema di Okta AD/LDAP DelAuth (autenticazione delegata), che ha mandato in allarme gli esperti di cybersecurity.
L’indagine ha rivelato che la piattaforma consentiva un’insolita modalità di bypass dell’autenticazione attraverso l’uso di un nome utente di lunghezza eccessiva. Perché il problema si manifestasse era necessario che il nome utente superasse i 52 caratteri. Anche se questo può sembrare poco probabile, non è raro che indirizzi email aziendali di notevole lunghezza vengano utilizzati come username.
Il punto critico della vulnerabilità risiedeva nella presenza di un tentativo di accesso accettato e memorizzato nel cache del sistema, con una chiave specifica creata tramite bcrypt, un algoritmo di hashing che, come spiegato dagli sviluppatori Okta, ignora le porzioni di input che superano una certa lunghezza, combinando quindi ID utente, nome utente e password in modo non sicuro.
Il funzionamento corretto della cache avrebbe dovuto avere la priorità solo in situazioni di emergenza, come specificato da una fonte aziendale: “Questo potrebbe verificarsi quando l’agent AD/LDAP è inoperativo o non disponibile, per esempio a causa di un sovraccarico di rete”. Per un sfruttamento riuscito del bug, oltre a questo scenario, era essenziale che la protezione tramite autenticazione a più fattori (MFA) fosse disattivata.
Un esperto di sicurezza di Brave si è espresso in merito, sottolineando la gravità del problema e il baco sistemico che consentiva, con un nome utente abbastanza lungo, l’accettazione di qualsiasi password. Okta ha ammesso di aver rilevato questa lacuna il 30 ottobre 2024, intervenendo con una correzione immediata nello stesso giorno, nonostante il bug fosse insito nel codice già da tre mesi.
Davanti a tale scenario, la raccomandazione di Okta ai suoi clienti è chiara: attivare l’MFA e analizzare i registri di accesso a partire dal 23 luglio per individuare qualsiasi tentativo di accesso che faccia uso di nomi utente di ragguardevole lunghezza (52 caratteri o più). L’azienda non ha rilasciato dichiarazioni circa la conoscenza di attacchi effettivamente avvenuti sfruttando questa vulnerabilità.
Considerazioni Finali
Questa vicenda sottolinea l’importanza critica di protocolli di sicurezza robusti e della continua vigilanza nel campo della cybersecurity. Mentre il team di Okta è stato rapido nel rispondere alla scoperta, il ritardo nell’identificazione del bug pone riflettori sulla necessità di audizioni di sicurezza proattive e regolari. L’abilitazione dell’MFA risulta una misura fondamentale, specie in un’era dove le minacce possono originare da vulnerabilità software non immediatamente evidenti.
In futuro, la gestione di identità e l’accesso ai sistemi informatici aziendali dovranno inevitabilmente passare attraverso un rafforzamento delle politiche di sicurezza e una più accurata supervisione delle operazioni di routine, onde evitare il ripetersi di simili incidenti.
Cyber Net Now
Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.