Satıcılar kimliğe bürünme tehdidine itiraz ettikten sonra araştırmacılar halka açıldı
Güvenlik araştırmacıları, kimlik sağlayıcı Okta’nın sistemlerinde ciddi güvenlik eksikliklerini ortaya çıkardıklarını iddia ediyorlar.
Kimlik ve erişim yönetimi uzmanı Authomize, sonuçsuz bir ifşa sürecinin ardından dört sözde güvenlik açığıyla halka açıldı.
Authomize’a göre, güvenlik açıkları “uygulama yöneticisi ayrıcalıklarına sahip tehdit aktörlerine açık metin parolaları çıkarma, herhangi bir alt kullanıcı kimliğine bürünme ve hub’daki veya başka bir konuşmacının kimliğine bürünme yeteneği verir”.
Ancak Okta, sözde bu kusurların ciddiyeti konusunda ikna olmadı ve şunları söyledi: Günlük Swig Automize’in araştırmasına yanıt olarak güvenlik güncellemeleri yayınlama planı yoktur. Okta, devam eden endişeleri olan kullanıcıların varsayılan güvenlik ayarlarını yükseltme seçeneğine sahip olduklarını söyledi.
En son kimlik doğrulama haberlerini yakalayın
Authomize’ın CTO’su ve kurucu ortağı Gal Diskin, “Müşterilerinin güvenliğini artırmak için Okta ile yakın bir şekilde çalıştığını söyledi.
“Bulgularımız için CVE atamama kararlarına katılmasak da, bizim için önemli olan nokta, onları ciddiye almaları ve onlarla karşılıklı mesleki saygıya dayalı olarak işbirliği yapmamızdır” dedi. Günlük Swig.
Diskin, kusurlardan yararlanmanın mütevazı yetenekli bir saldırgan için bile zor olmayacağını iddia etmeye devam etti.
“Doğru ayrıcalıklara/yapılandırmaya sahipseniz [then you]ve hatta sınırlı teknik becerilere sahip herkes bu sömürüyü gerçekleştirebilir ”dedi.
Distin şöyle devam etti: “Saldırganlar bu kusurları şu amaçlarla kullanabilir: tüm çalışanların parolalarını çalmak, ayrıcalıkları süper yöneticiye yükseltmek, kalıcı gizli arka kapılar oluşturmak, doxing, kimliğe bürünme, hırsızlık veya fidye amacıyla tüm aşağı akış uygulamalarını tehlikeye atmak.
“Saldırganlar, herhangi bir IdP’ye bağlı aşağı akış uygulamalarına karşı yıkıcı saldırılar gerçekleştirmek için süper yönetici ayrıcalıklarını kullanabilir. [identity provider],” ekledi.
Yeraltı sohbeti
Doğrudan sorulduğunda, Authomize, tartıştığı kusurların gerçek dünyada sömürüldüğüne dair hiçbir kanıtı olmadığını kabul etti. Yine de güvenlik danışmanlığı, istismarın “radar altında” gerçekleşmiş olabileceğini savunuyor.
Distin, “Bu sorunlara kadar izlenebilecek bazı açıklanamayan şifre ve kullanıcı adı sızıntıları oldu” dedi. Günlük Swig. “Ayrıca tehdit istihbaratı şirketlerindeki ortaklardan, siber suç forumlarında kimlik sistemlerinin hedef olarak geniş çapta tartışıldığını gördüklerini duyduk.”
Daha geniş tehdit potansiyeli
Authomize, ortaya çıkardığı güvenlik eksikliklerinin diğer kimlik sağlayıcılarını da etkileyen genel bir sorun olmaktan ziyade Okta’ya özgü olduğunu düşünüyor.
Ayrı söyledi Günlük Swig: “Araştırmamıza göre, diğer IdP’lerin benzer şekilde risk altında olduğu görünmüyor.”
“Bununla birlikte, yukarı akış IdP’leri aracılığıyla kimliğe bürünme, aşağı akış uygulamalarında kullanıcı adı manipülasyonları ve araştırmamızın önerdiği diğer çeşitli yanlış yapılandırmalar gibi herhangi bir IdP’ye özgü belirli saldırılar var, sürekli izleme gerektirir.”
Okta, ancak Günlük Swig Automize tarafından ortaya çıkarılan sorunların kendisine özel olmadığını ve sektördeki en iyi uygulamaları takip ederek ele alınabileceğini.
Okta, “Authomize, blog gönderilerinin teknik ayrıntılarıyla Okta’ya ulaştı” dedi. Günlük Swig. “Kapsamlı bir incelemeden sonra, belirtilen öğelerin Okta’ya özgü olmadığına ve en iyi güvenlik uygulamalarının uygulanmasının blogdaki öğelerde bulunan riskleri azaltacağına karar verdik.
“Kuruluşlarının güvenliğini artırmak isteyen Okta müşterileri, en güvenli ayarları uygulamak için çevrimiçi ürün belgelerimizi kullanabilir” diye ekledi.
YSİZ DE GİBİ OLABİLİR Fantasy Premier League futbol uygulaması, hesap devralma hackleriyle mücadele etmek için 2FA’yı tanıtıyor