Der Cloud-Anbieter Okta hilft bei der Verwaltung von Zugängen zu Anwendungen und bietet eine Single-Sign-On-Lösung über Produktgrenzen hinweg an. Ende September meldete der Anbieter, eine „Sign-On Policy Bypass“-Lücke gefunden und behoben zu haben. Standen jetzt alle von Okta verwalteten Türen offen?
Für die genaue Bewertung muss man sich noch einmal den Unterschied zwischen Authentisieren und Autorisieren in Erinnerung rufen. Oktas Lösung kann beide Schritte übernehmen: Sicherstellen, dass der zugreifende User wirklich der ist, für den er sich ausgibt, und dann im nächsten Schritt entscheiden, ob dieser User den angefragten Dienst auch nutzen darf. Bei der vorliegenden Lücke konnte der zweite Schritt umgangen werden – es konnten also unter sehr bestimmten Voraussetzungen Nutzer in der Organisation auf Dienste und Inhalte zugreifen, für die sie nicht berechtigt waren. Das ist auch nicht gut, aber das Risiko war doch kleiner, als wenn jeder aus dem Internet Zugriff gehabt hätte.
https://trust.okta.com/security-advisories/okta-classic-application-sign-on-policy-bypass-2024/