Okta修复了其Classic产品中的一个漏洞，该漏洞允许攻击者绕过登录策略。利用该漏洞需要有效的凭证和使用“未知”设备。受影响的用户应查看系统日志。

领先的身份和访问管理提供商Okta最近宣布修补影响其Classic产品的一个严重安全漏洞。该漏洞可能允许攻击者绕过特定于应用程序的登录策略，起源于2024年7月17日的更新，并且一直可利用，直到2024年10月4日修补该问题。

该漏洞目前已在Okta的生产环境中得到解决，该漏洞可能通过绕过关键的安全控制（包括设备类型限制、网络区域和某些身份验证要求）允许未经授权访问应用程序。

然而，Okta确认该漏洞仅影响使用Okta Classic的组织，并且利用取决于多种因素，从而限制了易受攻击系统的范围。

Okta于2024年9月27日发现了该漏洞，并在内部调查后确定该漏洞源自2024年7月17日推出的软件更新。该问题特定于Okta Classic，影响了已配置特定于应用程序的登录策略的组织，尤其是那些依赖设备类型限制或平台全局会话策略之外的附加条件的组织。

根据Okta的安全公告，攻击者需要满足几个条件才能成功发起攻击。首先，攻击者需要访问有效凭证 — 无论是通过网络钓鱼、凭证填充还是暴力攻击。其次，组织必须使用特定于应用程序的登录策略。

最后，攻击者必须使用Okta评估为“未知”用户代理类型的设备或脚本，这可能会逃避标准设备类型限制的检测。一旦满足这些条件，攻击者可能已经绕过了通常需要额外身份验证或设备验证层的登录策略。

Okta提供了具体的搜索建议，管理员可以使用这些建议来识别日志中的潜在攻击尝试。这包括查找设备类型被标记为“未知”的意外成功身份验证事件。Okta还建议客户搜索不成功的身份验证尝试，这可能表明在成功登录之前发生了基于凭证的攻击。

此外，鼓励组织监控用户行为的偏差，例如不熟悉的IP地址、地理位置或访问时间，这些可能表示未经授权的活动。

身份和访问安全提供商Pathlock的首席执行官Piyush Pandey深入分析了此类漏洞的广泛影响。在接受采访时，Pandey强调了严格的访问风险分析和合规配置用户的重要性。

Pandey表示：“仅靠自动密码管理不足以防范未经授权的受监管应用程序访问风险。通过专注于严格的访问风险分析和合规的用户配置，包括严格管理第三方身份和访问权限，组织可以显著增强其安全态势、保护敏感数据并确保遵守监管要求。这种主动方法可以保护客户数据和信任，并增强整体弹性。

Pandey的评论强调，组织需要超越基本的密码管理，采取更全面的身份安全方法，特别是考虑到网络攻击日益复杂化。

鼓励受此漏洞影响的组织遵循Okta的详细指导，确保在相关时间范围内不会发生未经授权的访问，并在未来采用更强大的访问管理实践。