Kimlik ve erişim yönetimi şirketi Okta, yüksek ayrıcalıklı kullanıcılar için çok faktörlü kimlik doğrulamayı (MFA) sıfırlamaları için onları kandırmak amacıyla ABD merkezli müşterilerin BT hizmet masası temsilcilerini hedef alan sosyal mühendislik saldırılarına ilişkin bir uyarı yayınladı.
Saldırganların hedefi, yüksek ayrıcalıklı Okta Süper Yönetici hesaplarını ele geçirerek, ele geçirilen kuruluştaki kullanıcıların kimliğine bürünülmesine izin veren kimlik federasyonu özelliklerine erişmek ve bu özellikleri kötüye kullanmaktı.
Okta, 29 Temmuz ile 19 Ağustos arasında gözlemlenen saldırılar için uzlaşma göstergeleri sağladı.
Şirket, saldırganın hedef kuruluşun BT hizmet masasını aramadan önce ya ayrıcalıklı hesapların parolalarına sahip olduğunu ya da Active Directory (AD) üzerinden kimlik doğrulama akışına müdahale edebildiğini söylüyor.
Bir Süper Yönetici hesabının başarıyla ele geçirilmesinin ardından tehdit aktörü, anonimleştirici proxy hizmetleri, yeni bir IP adresi ve yeni bir cihaz kullandı.
Bilgisayar korsanları, diğer hesapların ayrıcalıklarını yükseltmek, kayıtlı kimlik doğrulayıcıları sıfırlamak için yönetici erişimini kullandı ve ayrıca bazı hesaplar için iki faktörlü kimlik doğrulama (2FA) korumasını da kaldırdı.
“Tehdit aktörünün, ele geçirilen Kuruluş içindeki uygulamalara diğer kullanıcılar adına erişmek için bir “kimliğe bürünme uygulaması” görevi görecek ikinci bir Kimlik Sağlayıcıyı yapılandırdığı gözlemlendi. Yine saldırgan tarafından kontrol edilen bu ikinci Kimlik Sağlayıcı, bir “kaynak” görevi görecek Hedefle gelen bir federasyon ilişkisinde (bazen “Org2Org” olarak da adlandırılır) IdP” – Okta
Bilgisayar korsanları, kaynak IdP’yi kullanarak kullanıcı adlarını değiştirerek güvenliği ihlal edilen hedef IdP’deki gerçek kullanıcılarla eşleştirdiler. Bu, hedef kullanıcının kimliğine bürünmelerine ve Tek Oturum Açma (SSO) kimlik doğrulama mekanizmasını kullanarak uygulamalara erişim sağlamalarına olanak tanıdı.
Yönetici hesaplarını dış aktörlerden korumak için Okta aşağıdaki güvenlik önlemlerini önerir:
- Okta FastPass ve FIDO2 WebAuthn’u kullanarak kimlik avına karşı korumalı kimlik doğrulamayı zorunlu kılın.
- Yönetici Konsolu da dahil olmak üzere ayrıcalıklı uygulama erişimi için yeniden kimlik doğrulamayı zorunlu kılın.
- Self servis kurtarma için güçlü kimlik doğrulayıcıları kullanın ve güvenilir ağlarla sınırlandırın.
- Uzaktan Yönetim ve İzleme (RMM) araçlarını kolaylaştırın ve yetkisiz olanları engelleyin.
- Görsel kontroller, MFA sorgulamaları ve yönetici onaylarıyla yardım masası doğrulamasını geliştirin.
- Yeni cihazlar ve şüpheli etkinliklere ilişkin uyarıları etkinleştirin ve test edin.
- Süper Yönetici rollerini sınırlayın, ayrıcalıklı erişim yönetimi uygulayın ve yüksek riskli görevleri devredin.
- Yöneticilere, kimlik avına karşı dayanıklı MFA ile yönetilen cihazlardan oturum açma yetkisi verin ve güvenilen bölgelere erişimi sınırlandırın.
Okta’nın tavsiyeleri, saldırının çeşitli aşamalarındaki kötü amaçlı faaliyetlere işaret eden sistem günlüğü etkinlikleri ve iş akışı şablonları gibi ek güvenlik ihlali göstergelerini içerir. Şirket ayrıca 29 Haziran ile 19 Ağustos arasında gözlemlenen saldırılarla ilgili bir dizi IP adresi de sağlıyor.
H/T @HaboubiAnis