Kimlik ve Erişim Yönetimi, Olay ve İhlallere Müdahale, Güvenlik Operasyonları
BeyondTrust, İhlalin İlk Tespit Edildiğini Onaylamanın Yaklaşık 3 Hafta Sürdüğünü Söyledi
Michael Novinson (MichaelNovinson) •
20 Ekim 2023
Okta’nın destek vaka yönetimi sisteminin çalıntı bir kimlik bilgisi kullanılarak ihlali, saldırganların kimlik güvenliği devinin müşterileri tarafından yüklenen hassas dosyalara erişmesine olanak tanıdı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Okta Güvenlik Müdürü David Bradbury Cuma günü bir blog yazısında, San Francisco merkezli şirketin tehdit aktörünün bazı müşteriler tarafından son destek vakalarının bir parçası olarak yüklenen dosyaları görüntüleyebileceğini söyledi. Okta müşterisi olan ayrıcalıklı erişim yönetimi şirketi BeyondTrust, ilk olarak 2 Ekim’de bir ihlalle ilgili endişelerini dile getirdi ancak Perşembe gününe kadar bir uzlaşmanın gerçekleştiğine dair herhangi bir bildirim almadı.
BeyondTrust Baş Teknoloji Sorumlusu Marc Maiffret Cuma günü bir blog yazısında şunları yazdı: “Modern kimlik tabanlı saldırılar karmaşık olabilir ve bu saldırının da gösterdiği gibi, sizin dışınızdaki ortamlardan kaynaklanabilir.” “Yine de derinlemesine savunma önemlidir. Tek bir kontrolün veya sürecin başarısızlığı ihlalle sonuçlanmamalıdır.”
Okta’nın hisseleri Cuma günkü işlemlerde hisse başına 9,89 $ – veya %11,57 – düşerek 75,57 $’a geriledi; bu, firmanın hisselerinin 30 Ağustos’tan beri gördüğü en düşük seviye. Okta’nın ihlali ilk olarak Cuma günü Krebs Güvenlik tarafından bildirildi ve ardından Bradbury’den bloglar yayınlandı. ve Maiffret. Haber, Reuters’in bilgisayar korsanlarının MGM ve Caesars’taki Okta yazılımını ihlal ettiğini ve diğer üç şirketin sistemlerine girdiğini söylemesinden bir ay sonra geldi (bkz: MGM Resorts, Saldırının Ardından Otellerin ‘Normal Olarak Çalıştığını’ Söyledi).
Bradbury, Okta desteğinin normal iş sırasında müşterilerden tarayıcı etkinliğini kopyalayarak sorun gidermeye olanak tanıyan bir HTTP Arşiv dosyası yüklemelerini isteyeceğini söyledi. Dosyalar, kötü niyetli aktörlerin geçerli kullanıcıların kimliğine bürünmek için kullanabileceği çerezler ve oturum belirteçleri içerir. Okta, etkilenen müşterilerle araştırma yapmak için çalıştı ve müşteriler için yerleşik oturum belirteçlerini iptal etti.
Bradbury blog yazısında “Bunun gibi saldırılar, uyanık kalmanın ve şüpheli faaliyetlere karşı tetikte olmanın önemini vurguluyor” diye yazdı. “Genel olarak Okta, bir HAR içindeki tüm kimlik bilgilerinin ve çerezlerin/oturum belirteçlerinin sterilize edilmesini önerir [HTTP Archive] Dosyayı paylaşmadan önce.”
BeyondTrust Ayrıntılarının Okta Tarafından Açıklanmasındaki Gecikmeler
Maiffret’e göre BeyondTrust güvenlik ekipleri, 2 Ekim’de bir saldırganın Okta’nın destek sisteminden çalınan geçerli bir oturum çerezini kullanarak şirket içi Okta yönetici hesabına erişmeye çalıştığını gördü. Olaya ilk müdahale, Okta’da destek ekibinden biri veya müşteri desteğiyle ilgili verilere erişebilecek konumda olan biri tarafından olası bir tehlikeye işaret ediyordu. Bu, BeyondTrust’un Okta ile iletişime geçmesine neden oldu (bkz.: BeyondTrust CEO’su Ayrıcalıklı Altyapı Erişimini Birleştirme Konusunda).
Maiffret, ilk adli incelemelerin Okta’nın destek organizasyonu içinde bir uzlaşmaya işaret ettiğini ve diğer Okta müşterilerinin de açığa çıkabileceği endişesini göz önünde bulundurarak BeyondTrust’un 3 Ekim’de Okta destek ekibinden olayı Okta’nın güvenlik ekibine iletmesini istediğini söyledi. Maiffret’e göre Okta, o dönemde bilinen bir güvenlik ihlali veya devam eden güvenlik olayı hakkında herhangi bir bilgi sağlamadı.
Ardından 11 Ekim’de BeyondTrust, Okta’nın bilgi güvenliği ekibinin bir üyesiyle Zoom üzerinden buluşarak bulgularını paylaştı ve destek vakası verilerine erişimle ilgili ek günlük verileri talep etti. İki gün sonra BeyondTrust, Okta’dan çeşitli tutarsızlıklar içeren destek günlükleri aldı ve diğer Okta müşterilerinin muhtemelen etkilenmiş olması nedeniyle tutarsızlıklarla ilgili daha ayrıntılı günlükler talep edilmesine yol açtı.
Son olarak Perşembe günü Maiffret, Okta’nın güvenlik liderliğinin gerçekten bir ihlal olduğunu ve BeyondTrust’un açığa çıkan müşterilerden biri olduğunu doğrulamak için aradığını söyledi. Maiffret, müşteri politikası kontrollerinin saldırganın ilk faaliyetini engellediğini ancak Okta’nın güvenlik modellerindeki sınırlamaların, saldırganın birkaç sınırlı eylemi gerçekleştirmesine izin verdiğini söyledi. BeyondTrust daha sonra saldırganın sistemlerine erişim sağlamadığını doğruladı.
Maiffret, “BeyondTrust, Okta’ya ortak müşterileri korumak amacıyla bizimle birlikte çalıştığı için teşekkür ediyor” diye yazdı. “Bu ihlali bildirme, etkilenen müşterileri bilgilendirme ve daha ileri soruşturma adımlarını vurgulama konusundaki şeffaflıklarını takdir ediyoruz.”
Okta CISO Vekili Charlotte Wylie, Güvenlik konusunda Krebs’e Okta’nın başlangıçta BeyondTrust’un 2 Ekim uyarısının sistemlerinin ihlalinden kaynaklanmadığına inandığını söyledi. Salı günü Wylie, Okta’nın olayı tespit edip kontrol altına aldığını ancak davetsiz misafirin şirketin vaka yönetimi hesabına ne kadar süreyle erişebildiğine ilişkin soruları yanıtlamayı reddettiğini söyledi. Okta, düşmanın daha önce gördüğü biri olduğuna inanıyor.
Wylie, Krebs on Security’ye şunları söyledi: “Bu, bizi ve Okta’ya özgü müşterileri hedef aldığına inandığımız bilinen bir tehdit aktörüdür.” Okta, Bilgi Güvenliği Medya Grubu’nun BeyondTrust’un blog yazısı hakkındaki yorum talebine hemen yanıt vermedi.