IDや
パスワードなどのユーザアカウントを一元管理するシステムを手がけるOktaが、「ユーザー名が52文字以上だと
パスワードによる認証を回避できる脆弱(ぜいじゃく)性」が2024年7月23日から約3カ月間にわたって存在していたと発表しました。
Okta AD/LDAP Delegated Authentication - Username Above 52
Characters Security Advisory
https://trust.okta.com/security-advisories/okta-ad-ldap-
delegated-
authentication-username/
Oktaは2024年11月1日に、同社の委任認証システムである「Okta AD/LDAP DelAuth」に、正しい
パスワードを入力しなくてもアカウントにログインできる
脆弱性があったと報告しました。
Oktaの
セキュリティ勧告によると、ユーザー名が52文字以上で、過去にそのユーザーが認証に成功した履歴がある場合、保存されたキャッシュキーを使用して認証できてしまうとのこと。
AD/LDAP DelAuthのキャッシュキーの生成にはBcryptという
アルゴリズムが使われていましたが、この
アルゴリズムでは「userId+username+password」を組み合わせた文字列をハッシュ化してキャッシュキーを生成します。
これにより、AD/LDAPエージェントがダウンしていたりトラフィックが多すぎたりした場合、ユーザーは保存されたキャッシュキーを使用して認証できる可能性があったとのことです。
多要素認証(MFA)が使われている場合はこの問題を回避できましたが、不具合は2024年7月23日から10月30日までシステムに存在し続けました。
Oktaは10月30日にこの
脆弱性を発見し、同日暗号
アルゴリズムをBcryptからPBKD
F2に切り替えることで問題に対処しました。
Oktaは顧客に対し、「2024年7月23日から10月30日までの期間、52文字を超えるユーザー名による予期しない認証があるかどうか、システムログを調査する必要があります」と述べるとともに、多要素認証の設定やフィッシング耐性のある認証システムの使用を推奨しました。
