1Password, Okta İhlaliyle Bağlantılı ‘Şüpheli Etkinlik’ Buldu

100.000’den fazla ticari müşteriye ve milyonlarca bireysel kullanıcıya sahip olan Toronto merkezli hizmet sağlayıcı, bulut tabanlı Okta kimlik yönetimi sistemine bağlı “şüpheli etkinliği” ilk kez geçen ay tespit ettiğini söyledi.

1Password’ün CTO’su Pedro Canahuati, Pazartesi günü yayınlanan bir blog yazısında “29 Eylül’de, çalışanlarımıza yönelik uygulamalarımızı yönetmek için kullandığımız Okta örneğimizde şüpheli etkinlik tespit ettik” dedi.

“Etkinliği derhal sonlandırdık, araştırdık ve çalışanların veya kullanıcıların karşılaştığı kullanıcı verilerinden veya diğer hassas sistemlerden herhangi bir ödün verilmediğini tespit ettik” dedi. “O zamandan beri, uzlaşmanın ilk vektörünü belirlemek için Okta ile çalışıyoruz.”

Cuma günü 1Password, Okta yazılımındaki şüpheli etkinliğin, bir saldırganın 1Password’ün Okta sistemine yönetici düzeyinde ayrıcalıklarla erişmek için geçerli bir oturum çerezini çalmasına olanak tanıyan “Okta’nın destek sistemi ihlalinin bir sonucu olduğunu” doğruladığını söyledi.

Merkezi San Francisco’da bulunan Okta, güvenlik açığını ilk kez Cuma günü duyurdu ve saldırganların müşteri destek yönetim sistemine erişim sağladığı ve bazı müşteriler tarafından yüklenen hassas bilgileri çaldığı konusunda uyarıda bulundu (bkz.: Okta Destek Birimi, Bilgisayar Korsanları Tarafından Çalınan Kimlik Bilgileriyle İhlal Edildi).

1Password, Pazartesi günü yayınlanan kendi olay raporunda kampanyanın daha geniş kapsamlı olduğunu şöyle açıkladı: “Tehdit aktörleri süper yönetici hesaplarını ele geçirecek, ardından kimlik doğrulama akışlarını manipüle etmeye çalışacak ve etkilenen kuruluş içindeki kullanıcıların kimliğine bürünmek için ikincil bir kimlik sağlayıcı kuracak.”

Başka bir Okta müşterisi olan kimlik ve erişim yönetimi sağlayıcısı BeyondTrust, Cuma günü Okta’nın müşteri destek yönetimi sisteminin ihlali nedeniyle hedef alındığını bildirdi. BeyondTrust Baş Teknoloji Sorumlusu Marc Maiffret, firmasının güvenlik ekiplerinin, bir saldırganın şirket içi Okta yönetici hesabına giriş yapmak için geçerli bir oturum çerezi kullanmaya çalıştığı 2 Ekim’de şüpheli etkinlik tespit ettiğini söyledi.

Maiffret, BeyondTrust’un olayla ilgili ayrıntılı bilgileri 2 Ekim’de Okta ile paylaştığını ve Okta’nın 16 gün sonra kendi müşteri destek sisteminin ihlal edildiğini ve bir saldırganın geçerli oturum çerezini Okta’dan çaldığını doğruladığını söyledi.

Maiffret bir blog yazısında, “BeyondTrust’a veya müşterilerimize herhangi bir maruz kalma olmasa da, diğer Okta kullanıcılarını ve bilgi güvenliği profesyonellerini eğitmek için saldırının ayrıntılarını paylaşıyoruz” dedi.

Çalınan HTTP Arşiv Dosyaları

Okta’nın CSO’su David Bradbury Cuma günkü bir blog yazısında, Okta’nın ihlalinin yalnızca “tamamen çalışır durumda olan ve etkilenmeyen üretim Okta hizmetinden ayrı olan” destek vaka yönetimi sistemini içerdiğini söyledi.

Şirket, bu saldırılarla hedef alınan tüm müşterileri doğrudan bilgilendirdiğini ancak kaç müşterinin etkilendiğini henüz kamuya açıklamadığını söyledi.

Okta, saldırganların müşteri destek sisteminden HTTP arşivi veya bilgileri çaldığını söyledi. .har Dosyalar. Bradbury, bu dosyaların “tarayıcı etkinliğini kopyalayarak sorunların giderilmesini” kolaylaştırdığını söyledi. “HAR dosyaları ayrıca, kötü niyetli aktörlerin geçerli kullanıcıların kimliğine bürünmek için kullanabileceği çerezler ve oturum belirteçleri dahil olmak üzere hassas veriler de içerebilir.”

Sonuç olarak, Okta’nın artık “HAR dosyasındaki tüm kimlik bilgilerinin ve çerezlerin/oturum belirteçlerinin Okta’nın müşteri destek ekibiyle paylaşılmadan önce temizlenmesini önerdiğini” söyledi.

Okta ayrıca tüm kullanıcıların şüpheli etkinlik göstergelerine karşı Okta sistem günlüklerini düzenli olarak incelemelerini önerir. Bradbury, “Zenginleştirme bilgilerimize göre göstergelerin çoğunluğu ticari VPN düğümleridir” dedi.

1Password’a Saldırı

1Password Pazartesi günkü olay raporunda, BT ekibinden bir üyenin 29 Eylül’de güvenlik ekibini, BT ekibinin, kendisinin başlatmadığı, idari kullanıcıları listeleyen bir Okta raporu başlattığını belirten bir uyarı aldığı konusunda uyardığını söyledi.

Raporda, “Ön araştırmalar, Okta ortamımızdaki faaliyetin şüpheli bir IP adresinden kaynaklandığını ortaya çıkardı ve daha sonra bir tehdit aktörünün Okta kiracımıza idari ayrıcalıklarla eriştiği doğrulandı” deniyor.

Parola yönetimi servis sağlayıcısı, bilgisayar korsanının saldırısının hassas verileri çalabilecek noktaya ulaştığına dair herhangi bir işaret görmediğini söyledi. 1Password’ün raporunda, “Gördüğümüz faaliyet, daha karmaşık bir saldırı için bilgi toplamak amacıyla tespit edilmeden kalma amacıyla ilk keşif yaptıklarını gösteriyor” diyor.

1Password, şüpheli etkinliğin hemen ardından tüm BT ekibi üyelerinin şifrelerini değiştirdiğini, çok faktörlü kimlik doğrulama yeteneklerini bir Yubikey ile sınırlandırdığını ve Okta hesaplarını çeşitli şekillerde kilitlediğini söyledi.

Şirket, tüm kullanıcılar için Okta yapılandırmasında, tüm şifrelerin değiştirilmesi, Okta dışı kimlik sağlayıcıların (yani ÜİYOK’ler) tüm Okta oturum açma girişimlerinin reddedilmesi ve süper kimlik sağlayıcıların sayısının azaltılması da dahil olmak üzere bir dizi başka değişikliği hızlı bir şekilde uygulamaya koyduğunu söyledi. -kullanıcı hesapları, yönetici kullanıcılar için izin verilen oturum süresinin azaltılması ve MFA kurallarının sıkılaştırılması. Şirket ayrıca, ek saldırı ve güvenlik ihlali işaretlerini izlemek ve şüpheli etkinlik durumunda daha hızlı sesli uyarılar vermek için Datadog izleme yazılımına ekstra kurallar eklediğini söyledi.

Saldırgan 2 Ekim’de geri döndü ve daha önce etkinleştirdiği bir Google IDP’yi kullanarak 1Password’ün Okta sistemine giriş yapmaya çalıştı. Bu, 1Password’ün olaya müdahale sırasında IDP’yi kaldırması sayesinde başarısız oldu. 1Password, “Oyuncunun bu IDP aracılığıyla oturum açmasını sağlayacak geçerli Google hesabı kimlik bilgilerine sahip olup olmadığı bilinmiyor.” dedi.