slh🚨 #Vulnérabilité dans l'authentification déléguée AD/LDAP #Okta : authentification sans mot de passe (sous certaines conditions) entre le 23 juillet et le 30 octobre 2024 🚨
🔍 DESCRIPTION DE LA VULNÉRABILITÉ
La vulnérabilité résulte de l'utilisation de la fonction de dérivation de clé Bcrypt, qui permet de générer une clé de cache en combinant : ID utilisateur + nom d’utilisateur + mot de passe.
Sous certaines conditions, un utilisateur pourrait s'authentifier en fournissant uniquement le nom d'utilisateur, en s'appuyant sur la clé de cache stockée lors d'une précédente authentification réussie.
⚠️ CONDITIONS D’EXPLOITATION
Le nom d’utilisateur doit contenir 52 caractères ou plus, déclenchant ainsi la génération de la clé de cache.
Le service d’authentification doit être hors ligne (agent déconnecté) OU soumis à un trafic élevé. Cela entraînera l'accès de DelAuth (Delegated Authentication) au cache en premier.
✅ RÉSOLUTION
Introduite le 23 juillet 2024 par une mise à jour, cette vulnérabilité a été découverte et corrigée par Okta le 30 octobre 2024 en remplaçant Bcrypt par PBKDF2.
đź“Ś RECOMMANDATIONS
Pour les organisations qui utilisent Okta AD/LDAP DelAuth, il est conseillé de :
- Analyser les journaux système entre le 23 juillet et le 30 octobre 2024 pour identifier toute tentative d’accès potentiellement liée à cette vulnérabilité.
- Contacter le support Okta pour toute assistance complémentaire.
đź•’ CHRONOLOGIE
23 juillet 2024 : Vulnérabilité introduite dans le cadre d'une mise à jour standard d'Okta.
30 octobre 2024 : Vulnérabilité découverte en interne.
30 octobre 2024 : Vulnérabilité corrigée en changeant la fonction de dérivation de clé Bcrypt par PBKDF2.
🔗 AVIS DE SÉCURITÉ OKTA : https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/