Okta: "52자 이상의 사용자 이름으로 로그인 검증을 우회할 수 있는" 심각한 보안 취약점이 수정되었습니다

ChainCatcher 메시지, 신원 및 접근 관리 소프트웨어 제공업체 Okta 공식 발표에 따르면, 2024년 10월 30일 내부에서 AD/LDAP DelAuth 캐시 키 생성 시 존재하는 취약점을 발견했습니다. Bcrypt 알고리즘이 캐시 키 생성을 위해 사용되며, 여기서 우리는 userId + 사용자 이름 + 비밀번호의 조합 문자열에 대해 해시 처리를 수행합니다. 특정 조건에서, 이는 사용자가 사용자 이름에 이전에 성공적으로 인증된 저장된 캐시 키를 제공함으로써 인증을 받을 수 있게 합니다.

이 취약점의 전제는 매번 사용자에 대해 캐시 키를 생성할 때, 사용자 이름이 52자 이상이어야 한다는 것입니다. 영향을 받는 제품 및 버전은 2024년 7월 23일 기준의 Okta AD/LDAP DelAuth이며, 이 취약점은 2024년 10월 30일 Okta의 생산 환경에서 해결되었습니다.