ABD merkezli yazılım firması Okta, Okta’nın destek vaka yönetimi sistemine erişmek için çalıntı bir kimlik bilgisi kullanan kötü amaçlı etkinlik keşfetti. Bir saldırgan, Okta müşterileri tarafından yüklenen hassas dosyaları görüntüleyebildi.
Şirketin kamuoyuna yaptığı açıklamaya göre Auth0/CIC vaka yönetim sistemi ve üretimdeki Okta hizmeti, saldırıdan etkilenmedi. Firma, bu sorunun etkilediği her tüketiciyle iletişime geçti.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Kullanıcıların Hassas Bilgileri Açığa Çıktı
Bu saldırıda ele geçirilen destek vaka yönetimi sistemi, tarayıcı etkinliğini kopyalayarak sorun gidermeyi kolaylaştıran HTTP Arşivi (HAR) dosyalarını içeriyordu.
Diğer hassas verilerin yanı sıra çerezler ve oturum belirteçleri HAR dosyalarında bulunabilir ve kötü niyetli aktörler tarafından meşru kullanıcılar gibi görünmek için kullanılabilir.
Okta, müşterilerini korumak için etkilenen müşterilerin yardımıyla araştırma yaptı ve yerleşik oturum belirteçlerinin iptal edilmesi gibi adımlar attı.
Okta’nın destek sistemine yapılan son saldırının hedefi olduklarını kabul eden iki müşteri BeyondTrust ve Cloudflare’dir.
BeyondTrust, “Yöneticinin dosyayı Okta’nın destek portalına yüklemesinden sonraki 30 dakika içinde bir saldırgan, bu destek bildirimindeki oturum çerezini kullanarak BeyondTrust Okta ortamında eylemler gerçekleştirmeye çalıştı” dedi.
BeyondTrust’a göre 2 Ekim’de dahili bir Okta yönetici hesabına kimlik merkezli bir saldırı tespit edildi ve kimlik güvenliği teknolojilerini kullanarak, şirketin altyapısına veya müşterilerine herhangi bir zarar vermeden veya onları tehlikeye atmadan saldırıyı hızlı bir şekilde durdurdu.
18 Ekim 2023’te Cloudflare, sistemlerine yönelik saldırıları keşfetti; hiçbir müşteri verisinin veya hizmetinin tehlikeye atılmadığını ileri sürdüler.
“Tehdit aktörü, bir Cloudflare çalışanı tarafından oluşturulan destek biletindeki oturum jetonunu ele geçirmeyi başardı. Cloudflare, tehdit aktörünün Okta’dan çıkarılan tokenı kullanarak 18 Ekim’de Cloudflare sistemlerine eriştiğini bildirdi.
“Güvenlik Olayına Müdahale Ekibimizin (SIRT) gerçek zamanlı tespit ve hızlı müdahalesi, kontrol altına almayı mümkün kıldı ve Cloudflare sistemleri ve verileri üzerindeki etkiyi en aza indirdi.”
Öneri
Okta, bir HAR dosyasını paylaşmadan önce tüm oturum açma bilgilerinin, çerezlerin ve oturum belirteçlerinin temizlenmesini önerir. Genel olarak, tüm kullanıcı hesapları için Donanım MFA’sının etkinleştirilmesi önerilir.
Soruşturmanın bir parçası olarak Okta, saldırganlarla ilgili IP adresleri ve Kullanıcı Aracısı bilgilerini içeren güvenlik ihlali göstergeleri sağladı. Bu, tehdit avlama faaliyetlerini gerçekleştirmek isteyen müşterilere yardımcı olur.
“Belirli bir şüpheli oturum, kullanıcı veya IP için Sistem Günlüğünde nasıl arama yapılacağına ilişkin daha önce yayınlanmış tavsiyelerimize başvurmanızı öneririz. Şirket, zenginleştirme bilgilerimize göre göstergelerin çoğunluğunun ticari VPN düğümleri olduğunu lütfen unutmayın” dedi.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.