Tehdit aktörleri, BT masası personelini yüksek ayrıcalıklı Okta kurumsal hesapları için çok faktörlü kimlik doğrulamayı (MFA) sıfırlamaya, bulut tabanlı kimlik erişim yönetimi (IAM) hizmetine erişim sağlamaya ve oradan hedeflenen ağlar üzerinden yanal olarak ilerlemeye ikna etmek için sosyal mühendislik kullanıyor.
Okta, kurumsal kullanıcıları uygulamalar ve cihazlar arasında birbirine bağlayan, bulut tabanlı, kurumsal düzeyde bir IAM hizmetidir ve dünya çapında 17.000’den fazla müşteri tarafından kullanılmaktadır. Bulut tabanlı sistemler için oluşturulmuş olmakla birlikte birçok şirket içi uygulamayla da uyumludur.
Şirketin yakın zamanda yayınladığı bir blog yazısında, Okta’nın ABD merkezli müşterilerinin son haftalarda “kiracılar arası kimliğe bürünme” saldırılarının “tutarlı bir modeli” olduğunu ve aktörlerin “Süper Yönetici” izinleri atanan kullanıcıları hedef aldığını bildirdi.
“Tehdit aktörlerinin ya a) ayrıcalıklı kullanıcı hesaplarına ait parolalara sahip oldukları ya da b) hedeflenen bir kuruluştaki BT hizmet masasını aramadan önce tüm MFA faktörlerinin sıfırlanmasını talep etmeden önce Active Directory (AD) aracılığıyla devredilen kimlik doğrulama akışını değiştirebildikleri ortaya çıktı Okta’nın Savunma Siber Operasyonlarına atfedilen gönderiye göre, hedef hesapta “.
Gönderiye göre, bilgisayar korsanları daha sonra anonimleştirici proxy hizmetleri ve daha önce kullanıcı hesabıyla ilişkilendirilmemiş bir IP ve cihaz kullanarak “güvenliği ihlal edilen kuruluş içindeki kullanıcıların kimliğine bürünmelerine olanak tanıyan meşru kimlik federasyonu özelliklerini kötüye kullanmak için” güvenliği ihlal edilmiş hesaplara erişiyor.
Bilgisayar korsanlarının faaliyetleri, diğer hesaplara daha yüksek ayrıcalıkların atanmasını içeriyordu; mevcut yönetici hesaplarındaki kayıtlı kimlik doğrulayıcıların sıfırlanması; ve bazı durumlarda ikinci faktör gereksinimlerinin kimlik doğrulama politikalarından kaldırılması. Bunlar, saldırganların kurumsal bulut tabanlı ağlar arasında yatay olarak hareket etmesine ve diğer hain faaliyetlerde bulunmasına olanak tanır.
Kimlik Erişimini Değiştirme
Saldırıdaki tehdit aktörleri, Okta’da, kullanıcının bir kaynak IdP’de başarıyla kimlik doğrulaması yapması durumunda hedef Kimlik Sağlayıcıdaki (IdP) uygulamalara erişime izin veren Gelen Federasyon adlı bir özelliği kötüye kullandı.
Gönderiye göre, kullanıcılara tam zamanında hizmet sağlamak için de kullanılabilen bu özellik, “birleşme, satın alma ve elden çıkarmalardan aylarca tasarruf etmek için” kullanılıyor. Ayrıca, merkezi kontrollere ihtiyaç duyan veya küresel olarak tek bir uygulama kümesi sağlamak isteyen ve aynı zamanda kendi politikaları ve uygulamaları için bireysel bölümlere özerklik sağlamak isteyen büyük kuruluşlar arasında da popülerdir.
Bu özelliğe erişimi olan birinin ne kadar güce sahip olduğu göz önüne alındığında, bu, bir Okta kuruluşunda Süper Yönetici veya Kuruluş Yöneticisi olarak tanımlanan en yüksek izinlere sahip kullanıcılarla sınırlıdır. Gönderiye göre, bu yöneticilerden biri, büyük ve karmaşık ortamlarda Süper Yönetici ayrıcalıklarına sahip kişilerin sayısını azaltmak için bu rolü bir “Özel Yönetici”ye devredebilir.
Saldırılarda Okta, aktörlerin, ele geçirilen kuruluş içindeki uygulamalara diğer kullanıcılar adına erişmek için “kimliğe bürünme uygulaması” görevi görecek ikinci bir IdP yapılandırdığını gözlemledi. Bu ikinci IdP, hedefle gelen federasyon ilişkisinde saldırganların kontrolü altında bir “kaynak” IdP olarak hareket eder.
Tehdit aktörleri, kaynak IdP’den ikinci “kaynak” IdP’deki hedeflenen kullanıcılara yönelik kullanıcı adı parametresini, ele geçirilen “hedef” IdP’deki gerçek bir kullanıcıyla eşleştirmek için değiştirdi. Bu, hedeflenen kullanıcı olarak hedef IdP’deki uygulamalara erişmek için tek oturum açmayı kullanmalarına olanak sağladı.
Yüksek Ayrıcalıklara Sahip Kullanıcılara Erişimin Korunması
Okta’ya göre saldırılar, IAM çözümlerinde yüksek ayrıcalıklı hesaplara erişimi korumanın neden önemli olduğunu vurguluyor. Okta, kullanıcıların IAM dağıtımlarında bu hesapları daha iyi güvenceye almaları için bir dizi öneride bulundu. Gerçekten de, birden fazla iş gücü arasındaki izin açığının kapatılması, kurumsal bulut ortamlarında yaygın bir sorundur.
Okta, müşterilere yüksek ayrıcalıklı hesapların kullanımını kısıtlamalarını, yönetici kullanıcılar için özel erişim politikaları uygulamalarını ve ayrıcalıklı kullanıcılar için ayrılmış işlevlerin şüpheli kullanımını izlemelerini ve araştırmalarını tavsiye ediyor.
Okta kullanan kuruluşlar, ortamlarının güvenliğini daha iyi sağlamak amacıyla “her oturum açmada” yeniden kimlik doğrulama gerektirecek şekilde Yönetici Konsolu da dahil olmak üzere ayrıcalıklı uygulamalara erişim için uygulamanın Kimlik Doğrulama Politikalarını da yapılandırabilir.
Ayrıca, bilgisayar korsanlarının hesaplara erişim sağlamak için yardım masası personelini hedeflemesini önlemek için Okta, yardım masası personelinin bir kullanıcının kimliğini doğrulamak için MFA sorgulamaları yaptığı görsel doğrulama ve yetkilendirilmiş İş Akışlarının bir kombinasyonunu kullanarak kuruluşların yardım masası kimlik doğrulama süreçlerini güçlendirmelerini önerdi. ve/veya faktörler sıfırlanmadan önce kullanıcının bölüm yöneticisi tarafından onaylanması gereken Erişim İstekleri.
Kuruluşlar ayrıca Süper Yönetici rollerinin kullanımını gözden geçirip sınırlamalı ve onlar için yalnızca ayrıcalıklı erişim yönetimini uygulamalıdır. Okta’ya göre, bakım görevleri için Özel Yönetici rollerini kullanmaları, gereken en az ayrıcalıklara sahip yardım masası rolleri oluşturmaları ve bu rolleri yüksek ayrıcalıklı yöneticilerin hariç tutulduğu gruplarla sınırlandırmaları gerekiyor.