[2]Okta修复了允许登录政策绕过的关键漏洞 ^繁體

Okta 修复了其 Classic 产品中的一个漏洞，该漏洞允许攻击者绕过登录策略。开采需要有效证件和使用”未知”装置。受影响的用户应查看系统日志。

领先的身份和访问管理提供商Okta最近宣布修补一个影响其Classic产品的重要安全漏洞。该漏洞可能允许攻击者绕过应用程序特定的登录策略，源于2024年7月17日的更新，在2024年10月4日补丁之前，该漏洞仍然可被利用。

该漏洞现已在Okta的生产环境中修复，它可能允许未经授权的用户通过绕过关键安全控制（包括设备类型限制、网络区域和某些身份验证要求）来访问应用程序。

然而，Okta确认，这一脆弱性只影响使用Okta Classic的组织，而且利用取决于多种因素，从而限制了易受系统的范围。

发生了什么

Okta 于 2024 年 9 月 27 日发现了该漏洞，经过内部调查，确定它源自 2024 年 7 月 17 日推出的软件更新。该问题是Okta Classic特有的，影响到配置了特定于应用程序的登录策略的组织，尤其是那些依赖于设备类型限制或平台全局会话策略之外的附加条件的组织。

根据Okta的安全建议，攻击者需要满足几个条件才能成功实施攻击。首先，攻击者需要访问有效的凭据-通过网络钓鱼、凭据填充或暴力攻击。其次，组织必须使用特定于应用程序的登录策略。

最后，攻击者必须使用Okta评定为”未知”用户代理类型的设备或脚本，这可能逃避标准设备类型限制的检测。一旦满足这些条件，攻击者可能已经绕过了通常需要额外认证层或设备验证的登录策略。

Okta 提供了具体的搜索建议，管理员可以使用这些建议来识别其日志中的潜在漏洞利用尝试。这包括查找设备类型标记为“未知”的意外成功身份验证事件。Okta还建议客户搜索不成功的身份验证尝试，这可能表明在成功登录之前发生了基于凭证的攻击。

此外，鼓励各组织监测用户行为中的偏差，如不熟悉的IP地址、地理位置或可能显示未经授权活动的访问时间。

专家评论

身份和访问安全提供商 Pathlock的执行官Piyush Pandey深入探讨了此类漏洞的广泛影响。在接受采访时，Pandey强调了严格的访问风险分析和用户的合规配置的重要性。

“自动密码管理本身不足以保护未经授权的受监管的应用程序访问风险，”潘迪说。“通过专注于严格的访问风险分析和用户的合规配置，包括对第三方身份和访问的严格管理，组织可以显著增强其安全态势，保护敏感数据，并确保符合监管要求。这种积极主动的方法可以保护客户数据和信任，并增强整体的弹性。

潘迪的评论突出表明，组织需要超越基本的密码管理，采用更全面的身份安全方法，特别是在网络攻击日益复杂的情况下。

鼓励受此漏洞影响的组织遵循Okta的详细指导，以确保在所述时间范围内不发生未经授权的访问，并在今后采取更强有力的访问管理做法。

[来源: 安全客]