Siber güvenlik şirketleri BeyondTrust ve Cloudflare, kimlik ve erişim yönetimi (IAM) uzmanı Okta’yı, her ikisinin de sistemlerine yönelik başka bir siber saldırının tuzağına düşmesinin ardından eleştirdi.
BeyondTrust, 2 Ekim 2023’te şirket içi bir Okta yönetici hesabına, Okta’dan çalınan geçerli bir oturum çerezini kullanan kimlik merkezli bir saldırı tespit ettiğini söyledi. Şirket, kendi sistemlerinin herhangi bir darbe olmadan saldırganın bağlantısını kesebildiğini ancak tedarikçisinin tepkisinin isabetli olmadığını da sözlerine ekledi.
“2 Ekim 2023’te bir Okta destek temsilcisi, BeyondTrust Okta yöneticisinden, yöneticinin üzerinde çalıştığı devam eden bir destek sorununu çözmeye yardımcı olmak için bir HAR dosyası oluşturmasını istedi. HAR dosyaları, bir web sitesiyle olan etkileşimleri günlüğe kaydetmek için bir web tarayıcısı tarafından oluşturulabilen HTTP arşivleridir; bu durumda siteyle ilgili bir sorunun hatalarını ayıklamak için kullanılır” dedi BeyondTrust.
“Yönetici isteğe uydu ve Okta destek portalına yüklenen bir API isteği ve bir oturum çerezi içeren bir HAR dosyası oluşturdu.
“Yöneticinin dosyayı Okta’nın destek portalına yüklemesinden sonraki 30 dakika içinde bir saldırgan, bu destek bildirimindeki oturum çerezini kullanarak BeyondTrust Okta ortamında eylemler gerçekleştirmeye çalıştı.”
BeyondTrust, kendi yönetici konsolu erişim politikalarının onları engellediğini, ardından tehdit aktörünün yönetici API eylemlerini kullanmaya çalıştığını ve bunun da bir arka kapı kullanıcı hesabı oluşturmasına olanak sağladığını söyledi. Artık etkinlik konusunda uyarılan BeyondTrust, davetsiz misafir daha fazla ilerlemeden bunu hızlı bir şekilde durdurmayı başardı. Diğer ayrıcalıklı Okta kullanıcılarında başka herhangi bir düzensiz faaliyet olduğuna dair bir kanıt görmediğini söyledi. Girişimin, Malezya’daki VPN/anonimleştirme proxy hizmetleriyle ilişkili olduğu bilinen bir IP adresinden kaynaklandığı anlaşılıyor.
İlk olay müdahalesi, bir Okta müşteri destek temsilcisinin veya müşteri destek verilerine erişebilecek konumda olan birinin tehlikeye girdiğini açıkça göstermesine rağmen, ilk yaklaşımından herhangi bir onay alamadığını ve 19 Ekim’e kadar tekrar tekrar girişimlerde bulunmak zorunda kaldığını söyledi. 17 gün sonra Okta bir ihlalden etkilendiğini bildirdiğinde.
Computer Weekly’nin kardeş şirketi TechTarget Security’ye konuşan BeyondTrust CTO’su Marc Maiffret, Okta’nın yavaş yanıt vermesinden yakındı ve bunu kısmen şirket ekiplerinin ABD’deki Oktane kullanıcı konferansı nedeniyle dikkatlerinin dağılmasına bağladı ve tedarikçiyi buna ikna etmekte zorlandığını söyledi. yeniden tehlikeye atılmıştı.
“Başlangıçta bunun kendileri olabileceğini makul bir şey olarak gördüklerini anlamadık. Keşke başından beri buna bir fikir olarak daha açık olsalardı. Onlar bize bir şeyler olduğunu söylemek için aramadan önce onlarla yaptığım son görüşmedeydim. Beynimi zorluyordum çünkü kendimi biraz çılgın biri gibi hissetmeye başladım, sanki bir şeyleri kaçırıyormuşuz gibi” dedi.
TechTarget başyazısıyla yaptığı görüşmede Maiffret, Okta’dan incelemesini istediği müşteri destek kayıtlarında tutarsızlıklar olduğunu ve bunun da kendine olan güvenini daha da zedelediğini iddia etti.
Bu arada Cloudflare, 18 Ekim’de de aynı yöntemle saldırıya uğradığını keşfetti. Hesabı Okta tarafından bilgilendirilmeden 24 saat önce tespit ettiğini ancak kendi sıfır güven mimarisinin herhangi bir olumsuz etkiyi önlediğini söyledi.
BeyondTrust’un deneyiminden alıntı yapan Cloudflare, tedarikçisine iç güvenlik uygulamalarını desteklemek için adımlar atmayı düşünmesi çağrısında bulundu.
“Okta’yı, herhangi bir uzlaşma raporunu ciddiye almak ve hasarı sınırlamak için derhal harekete geçmek de dahil olmak üzere aşağıdaki en iyi uygulamaları uygulamayı düşünmeye davet ediyoruz; bu durumda Okta ilk olarak 2 Ekim 2023’te BeyondTrust tarafından bilgilendirildi, ancak saldırganın hâlâ destek sistemlerini en az 18 Ekim 18’e kadar,” dedi bir blog yazısında.
Cloudflare, Okta’nın ayrıca şunları yapması gerektiğini söyledi: “Sistemlerinizde bir ihlalin onları etkilediğini tespit ettiğinizde müşterilerinize zamanında, sorumlu açıklamalarda bulunun; [and] üçüncü taraf destek sağlayıcıları da dahil olmak üzere tüm sistemleri korumak için donanım anahtarları gerektirir.
“Okta gibi kritik bir güvenlik hizmeti sağlayıcısı için bu en iyi uygulamaları takip etmenin önemli olduğuna inanıyoruz” dedi.
Okta CISO’su David Bradbury şunları söyledi: “Okta Security, Okta’nın destek vaka yönetimi sistemine erişmek için çalınan bir kimlik bilgilerine erişimden yararlanan düşmanca bir faaliyet tespit etti.
“Tehdit aktörü, son destek vakalarının bir parçası olarak belirli Okta müşterileri tarafından yüklenen dosyaları görüntüleyebildi. Okta destek vaka yönetimi sisteminin, tamamen çalışır durumda olan ve etkilenmeyen üretim Okta hizmetinden ayrı olduğu unutulmamalıdır. Ayrıca Auth0/CIC vaka yönetimi sistemi bu olaydan etkilenmez.
“Bunun gibi saldırılar, uyanık kalmanın ve şüpheli faaliyetlere karşı tetikte olmanın önemini vurguluyor” dedi.
Bradbury, Okta’nın ayrıca HAR dosyasını paylaşmadan önce içindeki tüm kimlik bilgilerinin, çerezlerin veya oturum belirteçlerinin temizlenmesini önerdiğini söyledi.
Netwrix ürün yönetimi direktörü Tyler Reese, Okta müşterilerinin başına gelen en son saldırı hakkında yorum yaparak, olayın Okta’nın elindeki hassas tokenları içermesi nedeniyle müşterilerin bunları proaktif olarak geçersiz kılma konusunda makul bir yeteneğe sahip olmadığını ve bu durumun ek savunma önlemlerini zorunlu hale getirdiğini söyledi.
“İlk savunma grubu, ayrıcalıklı hesaplar için güçlü, donanım tabanlı kimlik doğrulamayı ve güvenilir bir sistemden çalışmayı içermelidir. Hem BeyondTrust hem de Cloudflare tarafından belgelenen vakalarda, güvenlik ekiplerinin potansiyel kimlik bilgisi ihlallerini ortadan kaldırmasına olanak tanıyan donanımsal FIDO2 belirteçleri kullanıyorlardı” dedi Reese.
“İkinci savunma grubu, kimlik sistemlerinden ayrıcalıklı hesapların sağlam bir şekilde denetlenmesi ve tespit edilmesi olmalıdır. Raporlardan birinde, FIDO2 kullanıldığında bile ele geçirilen tokenın ayrıcalıklı API çağrılarını yürütmek için kullanılabileceği belirtildi. Saldırgan, hizmet hesabı olarak gizlenen ayrıcalıklı bir hesap oluşturmaya çalıştı.”
Reese şunları ekledi: “Genel olarak tedarik zinciri saldırılarında en büyük zorluk öngörülemezliktir: Bir sağlayıcının ihlali bir kez gerçekleştiğinde, saldırganın ayrıcalıklarıyla nereye hareket edeceğini bilmek zordur. Bir yazılım sağlayıcısıysa, yazılıma güvenlik açıkları eklemeye çalışabilir. Eğer bir finansal hizmet sağlayıcısıysalar, gasp amacıyla verileri sızdırmaya çalışabilirler.
“Kuruluşların yapabileceği en iyi şey, izlemeyi, sıfır ayrıcalıkları ve bir kuruluşun siber varlıklarının güçlü duruşunu ve bütünlüğünü teşvik eden sıfır güven yaklaşımı kavramlarını benimsemektir.”
Okta yüksek profilli bir hedef
Son birkaç yılda Okta, sistemleri aracılığıyla müşterilerini etkileyen bir dizi siber saldırı gördü; en son olarak, iki Las Vegas kumarhane operatörüne yönelik, önemli kesintilere neden olan yüksek profilli saldırılar, BeyondTrust’a yapılan saldırılara benzer şekilde başladı ve Bulut parlaması.
Okta’nın milyonlarca farklı kimliği kapsayan binlerce müşteriye kimlik hizmetleri sağladığı göz önüne alındığında, tehdit aktörleri sistemlerinin başarılı bir şekilde ele geçirilmesini gerçek bir ikramiye olarak görüyor. Bu bakımdan sistemlerine düzenli olarak saldırılması sürpriz değil.
Ancak bu saldırıların son kullanıcılara ulaşma sıklığı ve Okta’nın özünde bir siber güvenlik şirketi olduğu gerçeği göz önüne alındığında, teknolojiye ve güvenliğe daha fazla önem veren kullanıcıların bu saldırılara başlaması da muhtemelen sürpriz değil. endişeleri dile getirmek.
Okta, 2022 yılında kendi tedarikçilerinden biri olan Sitel aracılığıyla ortaya çıkan Lapsus$ saldırılarına yakalandıktan sonra kendi başına bir tedarik zinciri saldırısı yaşadı. Bu saldırıyı hızla durdurdu ve müşterileri üzerinde herhangi bir etki görmedi.
Firmanın müşteri güveninden sorumlu başkan yardımcısı Ben King, daha sonra Computer Weekly’ye verdiği bir röportajda, Okta’nın olayın ardından müşterilerin paniğe kapılmaya başlamasıyla iletişimde zorluk yaşadığının açık olduğunu söyledi.
Buna yanıt olarak King, Okta’nın tüm müşterileri için özel güvenlik bağlantıları ve onlarla bilgi paylaşımı için özel bir iletişim kanalı oluşturmak üzere harekete geçtiğini söyledi.