Okta: Risolta la vulnerabilità critica di sicurezza "Nomi utente di 52+ caratteri possono bypassare l'autenticazione di accesso"

Il 2 novembre, Okta, un fornitore di software per la gestione delle identità e degli accessi, ha rivelato in un post sul suo sito web che il 30 ottobre 2024 è stata scoperta una vulnerabilità interna nella generazione delle chiavi di cache di AD/LDAP DelAuth, per la quale viene utilizzato l'algoritmo Bcrypt per generare, in cui hashiamo la stringa combinata di userId + username + password. In determinate condizioni, ciò potrebbe consentire a un utente di autenticarsi solo fornendo il nome utente con una chiave di cache memorizzata che era stata precedentemente autenticata con successo.

Okta afferma che questa vulnerabilità si basa sul fatto che il nome utente sia uguale o superiore a 52 caratteri ogni volta che viene generata una chiave di cache per l'utente. I prodotti e le versioni interessati sono Okta AD/LDAP DelAuth a partire dal 23 luglio 2024, e la vulnerabilità è stata risolta il 30 ottobre 2024 nell'ambiente di produzione di Okta.