Okta Verify for iOS の脆弱性 CVE-2024-10327 が FIX:不正アクセスが生じる恐れ

CVE-2024-10327: Okta Verify for iOS Vulnerability Could Allow Unauthorized Access

2024/10/25 securityonline — Okta Verify for iOS で発見された脆弱性 CVE-2024-10327 (CVSS:8.1) は、ユーザーが認証リクエストを拒否した場合であっても、ユーザー・アカウントへの不正アクセスを、攻撃者に許す可能性があるものだ。この脆弱性は、iOS の ContextExtension 機能の特性に依存するものであり、特定のバージョンのアプリに影響を与えるという。

Okta Verify は、何百万人もの利用者を擁する人気の多要素認証 (MFA:multi-factor authentication) アプリだが、特定のシナリオにおける脆弱性 CVE-2024-10327 により、このセキュリティ対策が無効化されてしまうという。Okta のセキュリティ勧告には、「ユーザーが通知バナーを長押しして、何らかのオプションを選択すると、いずれのオプションでも認証が成功してしまう」と記されている。つまり、プッシュ通知における “Approve” か ”Deny” の、どちらを選択しても認証が成功し、攻撃者にアクセス権限が与えられる可能性があるということだ。

この脆弱性 CVE-2024-10327 の影響を受ける Okta Verify for iOS のバージョンは、9.25.1 (beta)/9.27.0 (including beta) と、2024年10月21日に Apple App Store で正式にリリースされた 9.27.0 となる。なお、この脆弱性は、ユーザー組織が Okta Classic を使用していた期間において、Okta Verify に登録したユーザーだけに影響するものであり、その後に Okta Identity Engine に移行したかどうかは関係ないという。

この脆弱性は、以下のようなシナリオで悪用される可能性がある:

  • ロック画面の応答:デバイスのロックを解除せずに、ロック画面から直接プッシュ通知に応答する場合。
  • ホーム画面の操作: ホーム画面でプッシュ通知をドラッグして下に移動し、応答を選択するなどして、ホーム画面でプッシュ通知とやりとりする。
  • Apple Watch での応答:Apple Watch から、ダイレクトにプッシュ通知に応答する。

Okta が推奨するのは、影響を受ける可能性のあるユーザーを特定し、既知のユーザー・アクティビティと関連するデータ (IP アドレスや位置情報など) を照合して異常を検出するために、システム・ログを確認することだ。

バージョン9.25.1 (beta) のユーザーの場合:

eventType eq "user.authentication.auth_via_mfa" and debugContext.debugData.factor eq "OKTA_VERIFY_PUSH" and client.userAgent.rawUserAgent co "B7F62B65BN.com.okta.mobile/9.25.1" and outcome.result eq "SUCCESS"

バージョン 9.27.0 のユーザーの場合:

eventType eq "user.authentication.auth_via_mfa" and debugContext.debugData.factor eq "OKTA_VERIFY_PUSH" and client.userAgent.rawUserAgent co "B7F62B65BN.com.okta.mobile/9.27.0" and outcome.result eq "SUCCESS"

すでに Okta は、Verify for iOS 9.27.2 のリリースにより、脆弱性 CVE-2024-10327 を修正している。ユーザーに対して強く推奨されるのは、可能な限り早急にアプリを更新し、このリスクを軽減することだ。

Okta の MFA アプリ Verify for iOS に脆弱性とのことです。Okta からの購入と、Apple App Store を介した購入があるはずですが、Okta Classic から切り替えたユーザーに影響が生じるとのことです。ご利用のチームは、ご注意ください。Okta Verify に関連する記事としては、2024/03/28 の「Okta Verify for Windows の脆弱性 CVE-2024-0980 が FIX:ただちにパッチを!」がありました。よろしければ、Okta で検索と併せて、ご参照ください。