BeyondTrust ve CloudFlare’in izinden giden 1Password, Okta Destek Sistemi ihlalinden etkilendiğini açıkladı.
1Password’ün CTO’su Pedro Canahuati, “29 Eylül’de, çalışanların karşılaştığı uygulamalarımızı yönetmek için kullandığımız Okta örneğimizde şüpheli etkinlik tespit ettik” dedi.
“Etkinliği derhal sonlandırdık, araştırdık ve çalışanların veya kullanıcıların karşılaştığı kullanıcı verilerinden veya diğer hassas sistemlerden herhangi bir ödün verilmediğini tespit ettik.”
Okta Destek Sistemi ihlali
Okta’nın Güvenlik Müdürü David Bradbury, geçtiğimiz Cuma günü, bir saldırganın “Okta’nın destek vaka yönetimi sistemine erişmek için çalıntı bir kimlik bilgilerine erişimden yararlandığını” ve “son destek vakalarının bir parçası olarak belirli Okta müşterileri tarafından yüklenen dosyaları görüntülediğini” açıkladı.
Söz konusu dosyalar, web tarayıcıları tarafından bir web sitesiyle olan etkileşimleri günlüğe kaydetmek için oluşturulan HTTP Arşivi (HAR) dosyalarıdır. Okta’nın destek ekibi, tarayıcı etkinliğini kopyalayarak sorunları giderebilmeleri için müşterilerden bu dosyaları paylaşmalarını istiyor.
“HAR dosyaları aynı zamanda kötü niyetli aktörlerin geçerli kullanıcıların kimliğine bürünmek için kullanabileceği çerezler ve oturum belirteçleri dahil olmak üzere hassas veriler de içerebilir” diye açıkladı.
Bradbury, üretim Okta hizmetinin ve şirketin Auth0/CIC vaka yönetimi sisteminin etkilenmediğini ve şirketin bundan etkilenen tüm müşterilere bilgi verdiğini söyledi.
BeyondTrust ve Cloudflare
Okta’nın duyurusundan kısa bir süre sonra BeyondTrust ve Cloudflare, ihlalden etkilenen müşteriler arasında olduklarını doğruladı. Her iki şirket de Okta tarafından bilgilendirilmeden önce saldırgan faaliyetini tespit ettiklerini açıkladı.
BeyondTrust CTO’su Marc Maiffret, “2 Ekim 2023’te BeyondTrust güvenlik ekipleri şirket içi bir Okta yönetici hesabına kimlik merkezli bir saldırı tespit etti” dedi.
“İlk olay müdahalesi, Okta’da destek ekibinden birinin ya da müşteri desteğiyle ilgili verilere erişebilecek konumda olan birinin olası bir tehlikeye işaret ettiğini gösterdi.”
Aynı gün Okta’ya bir ihlalle ilgili endişelerini dile getirdiler, ancak Okta güvenlik liderliğinin kendilerini ihlal ve etkilenen müşterilerinden biri oldukları konusunda bilgilendirmesi 17 gün sürdü.
Saldırgan, bu destek bildirimindeki oturum çerezini kullanarak şunları yapmayı denedi:
- BeyondTrust Okta yönetici konsoluna erişin (ve engellendi)
- Okta yönetici konsolunun API’sini kullanarak bir şifre durumu raporu oluşturun
- Ana Okta kontrol paneline erişim kazanın (reddedildi)
Tehdit aktörü, sahte bir hizmet hesabı oluşturmak için Okta’nın resmi API’sini kullanmayı başardı, ancak şirketin güvenlik ekibi bunu derhal devre dışı bıraktı ve hesap kullanılmadan önce saldırganın erişimini iptal ederek başka herhangi bir işlem yapılmasını engelledi.
Maiffret, “Identity Security Insights’ta diğer tüm ayrıcalıklı Okta kullanıcıları arasında başka herhangi bir düzensiz faaliyet kanıtı görmedik, başka şüpheli Okta hesaplarının oluşturulduğuna dair bir kanıt görmedik ve bu olaydan önce hedeflenen kullanıcının hesabında herhangi bir olağandışı etkinlik olduğuna dair bir kanıt görmedik” diye ekledi.
Cloudflare mühendisleri ve CSO Grant Bourzikas, 18 Ekim 2023 Çarşamba günü sistemlerine yönelik saldırıları keşfettiklerini söyledi.
“Saldırgan, Yönetici ayrıcalıklarına sahip, Okta’dan açık bir oturum kullandı ve Okta örneğimize erişti” diye açıkladılar.
Tehdit aktörü, Okta platformundaki iki ayrı Cloudflare çalışan hesabını ele geçirdi, ancak şirketin güvenlik ekibi kalıcılık sağlayamadan bu hesapların erişimini kesti.
Ayrıca Cloudflare’in Okta’nın sistemlerinin ihlalinden ikinci kez etkilendiğini de belirttiler.
İlki 2022’nin başlarında gerçekleşti, ancak şirket çok faktörlü kimlik doğrulama (MFA) için donanım anahtarları kullandığından tehdit aktörleri Cloudflare sistemlerine veya verilerine erişemedi. (Kimlik avına karşı dayanıklı MFA’nın kullanılması, Cloudflare’in aynı yılın ilerleyen dönemlerinde kimlik avcıları tarafından ihlal edilmesini engellemesine de yardımcı oldu.)
Cloudflare ekibi, “Bu haftaki olayı hafifletmenin anahtarı, ekibimizin erken tespit etmesi ve anında müdahale etmesiydi” dedi.
1Şifre
Şirket, kamuoyuyla paylaştığı bir dahili olay raporunda, saldırı öncesinde 1Password BT ekibinin bir üyesinin Okta desteğiyle bir HAR dosyası paylaştığını açıkladı.
29 Eylül 2023 sabahın erken saatlerinde tehdit aktörü, Okta yönetim portalına erişmek için HAR dosyasını oluşturmak için kullanılan Okta oturumunun aynısını kullandı.
Saldırgan daha sonra BT ekibi üyesinin kullanıcı kontrol paneline erişmeye çalıştı (ve Okta tarafından engellendi), 1Password’ün üretim Google ortamına bağlı mevcut bir IDP’yi (kimlik sağlayıcı) güncelleyip etkinleştirdi ve yönetici kullanıcılar hakkında bir rapor talep etti.
“Bu listedeki son eylem, BT ekibi üyesine bir e-posta gönderilmesiyle sonuçlandı ve onları bu olayla ilgili uyardı. Bu noktada, bilinmeyen aktörün, günlük girişleriyle sonuçlanmayan, daha az hassas başka eylemler (grupları görüntüleme gibi) gerçekleştirdiği biliniyor; Okta, incelememiz için bu eylemlere ilişkin günlük girişlerini almaya çalışıyor” diye ekledi.
1Password’ün güvenlik ekibi, saldırganın etkinleştirdiği Google IDP’yi kaldırdı, bu nedenle 2 Ekim’de geri döndüklerinde onu kullanamadılar.
“Her iki durumda da aktör, Okta’ya ABD’de LeaseWeb tarafından barındırılan bir sunucu aracılığıyla erişti ve Chrome’un çok benzer ve daha eski bir sürümünü (farklı işletim sistemleri olsa da) kullandı. Aktörün, bu IDP aracılığıyla oturum açmayı tamamlamasına olanak sağlayacak geçerli Google hesabı kimlik bilgilerine sahip olup olmadığı bilinmiyor.”
Takip araştırmalarında kullanıcı verilerinden veya diğer hassas sistemlerden herhangi bir ödün verilmediğini belirttiler.
1Password’ün olay raporu, şirketin ihlal girişimini Okta’nın Destek Sisteminin ihlaline kadar nasıl takip ettiğini ortaya koyuyor.
Okta müşterileri için tavsiyeler
Okta, BeyondTrust ve CloudFlare, diğer şirketlerin bu belirli saldırılara ilişkin kanıtları kontrol etmelerine yardımcı olabilecek ortak risk göstergeleri ve tespitlere sahiptir. Ayrıca yararlı bilgiler paylaştılar ve güvenlik duruşuyla ilgili iyileştirmeler önerdiler.
Okta, etkilenen tüm müşterilerin bilgilendirildiğini ve tüm müşterilerin HAR dosyalarındaki kimlik bilgilerini ve çerezleri/oturum belirteçlerini Okta’nın destek ekibiyle paylaşmadan önce temizlemelerini istediğini söyledi.
“Modern kimliğe dayalı saldırılar karmaşık olabilir ve bu saldırının da gösterdiği gibi, sizin dışınızdaki ortamlardan kaynaklanabilir.
BeyondTrust’un CTO’su Maiffret, HAR dosyalarının nasıl paylaşıldığı gibi şeyleri sınırlamak için iyi spesifik politikalar ve dahili kontrollerin gerekli olduğunu, ancak modern kimlik tabanlı saldırıları tespit etmek ve engellemek için derinlemesine savunmanın önemli olduğunu belirtti.
“Tek bir kontrolün veya sürecin başarısızlığı ihlalle sonuçlanmamalıdır. Burada, Okta oturum açma kontrolleri, kimlik güvenliği izleme vb. gibi çok sayıda kontrol katmanı bir ihlali önledi” diye belirtti.