Okta AD/LDAP DelAuthに脆弱性 悪用を可能とする6つの条件とは？：セキュリティニュースアラート

OktaはAD/LDAP DelAuthの認証キャッシュキー生成に脆弱性があると公表した。特定条件下で以前のキャッシュが再利用される可能性があるという。

[後藤大地，有限会社オングス]

　Oktaは2024年10月30日（現地時間、以下同）、モジュール「Okta AD/LDAP DelAuth」（以下、AD/LDAP DelAuth）に脆弱（ぜいじゃく）性が存在すると発表した。

　AD/LDAP DelAuthのキャッシュキーの生成に脆弱性が見つかったとされており、ユーザーが以前に成功した認証の保存済みキャッシュキーを利用して認証できる可能性があるという。

Okta AD/LDAP DelAuthに脆弱性　悪用を可能にする条件とは？

　Oktaは2024年11月4日に情報をアップデートし、この脆弱性を悪用するには次の全ての条件を満たす必要があると説明している。

• Okta AD/LDAP DelAuthが使われている
• 多要素認証（MFA）が使われていない
• ユーザー名が52文字以上ある
• ユーザーは以前に認証されており、認証のキャッシュを作成している
• AD/LDAPエージェントがダウンしているか、ネットワークトラフィックが多いなどの理由でアクセスできない状態にある（この状態だとキャッシュが最初に使われる可能性が高い）
• 2024年7月23日〜10月30日の間に認証が実施されている

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Okta AD/LDAP DelAuth（2024年7月23日版）

　脆弱性が修正されたバージョンは以下の通りだ。

• Okta AD/LDAP DelAuth（2024年10月30日版）

　Oktaは顧客に対し2024年7月23日〜同年10月30日の間に52文字超のユーザー名を使った予期しない認証がないかどうか、システムログを精査することを強く推奨している。

　また、Oktaは全ての顧客に少なくとも多要素認証を実装することを推奨している。フィッシングに強い「Okta Verify FastPass」や「FIDO2 WebAuthn」などの認証システムにユーザーを登録し、全てのアプリケーションアクセスにおいてセキュリティ対策を強化することを勧めている。