Okta Patches Vulnerability (CVE-2024-9191) in Verify Desktop MFA for Windows
2024/11/03 SecurityOnline — Okta Verify Desktop MFA for Windows に存在する深刻な脆弱性が対処され、ユーザー・パスワード窃取の可能性が緩和された。この脆弱性 CVE-2024-9191 (CVSS:7.1) は、Okta Device Access のパスワードレス・ログイン機能に影響を与えるものである。
Okta のセキュリティ勧告には、「Okta Verify agent for Windows により提供される Okta Device Access 機能が、 OktaDeviceAccessPipe へのアクセスを可能にしている。それにより、標的デバイスに侵入した攻撃者が、デスクトップ MFA のパスワードレス・ログインに関連付けられた、パスワードを取得する可能性が生じる」と記されている。
すでに攻撃者が、ユーザーのデバイスにアクセスしている場合には、この脆弱性を悪用することで、Okta Verify エージェントに保存されたパスワードの抜き取りが可能となる。それにより、ユーザーの Okta アカウントや、接続されたアプリケーションが、さらに侵害される可能性が生じる。
この脆弱性 CVE-2024-9191 は、Anvil Secure による定期的な侵入テストで発見されたものであり、Okta のアドバイザリには Anvil Secure への謝意が記されている。重要なことは、Okta Device Access のパスワードレス・ログイン機能を有効化しているユーザーだけに、この脆弱性が影響するという点である。
Okta は、「この脆弱性を悪用するうえでの前提条件は、標的ユーザーが Okta Device Access のパスワードレス機能を使用していることである。したがって、このパスワードレス機能を使用していない Okta Device Access ユーザーは影響を受けない。さらに、Windows 以外のプラットフォームで、Okta Verify/FastPass だけを使用しているユーザーも影響を受けない」とも述べている。
すでに Okta は、Verify for Windows バージョン 5.3.3 をリリースし、この脆弱性に対処している。バージョン 5.0.2 ~ 5.3.2 を使用している、ユーザーに対して強く推奨されるのは、直ちにアップグレードすることである。
Okta の Verify Desktop MFA for Windows に存在する脆弱性が FIX とのことです。同社のコアともいうべき製品だと思いますが、Anvil Secure による定期的な侵入テストで発見されたと述べられています。なお、2024/10/25 には、「Okta Verify for iOS の脆弱性 CVE-2024-10327 が FIX:不正アクセスが生じる恐れ」という記事がポストされています。よろしければ、Okta で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.