Okta Destek sisteminin son ihlali, müşteri destek yazışmalarını görüntüleme ve güncelleme izinlerine sahip, güvenliği ihlal edilmiş bir hizmet hesabı aracılığıyla gerçekleştirildi.
“Bu hesabın şüpheli kullanımına ilişkin araştırmamız sırasında Okta Security, bir çalışanın Okta tarafından yönetilen dizüstü bilgisayarının Chrome tarayıcısında kişisel Google profilinde oturum açtığını tespit etti. Okta Güvenlik Müdürü David Bradbury, Cuma günü yaptığı açıklamada, hizmet hesabının kullanıcı adı ve şifresinin çalışanın kişisel Google hesabına kaydedildiğini açıkladı.
“Bu kimlik bilgilerinin açığa çıkmasının en muhtemel yolu, çalışanın kişisel Google hesabının veya kişisel cihazının ele geçirilmesidir.”
Okta ihlali müşterileri nasıl etkiledi?
Tehdit aktörü, Okta Destek sistemine ve müşterilerin Okta Destek’e sağladığı temizlenmemiş HAR dosyalarına elde ettikleri erişimden yararlandı.
Bu dosyalardan oturum belirteçleri çıkarmayı başardılar; bu da 1Password, BeyondTrust, Cloudflare ve diğer iki isimsiz şirketin meşru Okta oturumlarını ele geçirmelerine olanak sağladı.
Tehdit aktörü, ele geçirilen oturumları/yönetici hesaplarını şirketlerin sistemlerine daha fazla sızmak için kullandı, ancak daha önce bildirdiğimiz gibi fazla bir şey yapamadılar ve hızla devre dışı bırakıldılar.
Bradbury tarafından paylaşılan soruşturma zaman çizelgesi, 1Password’ün şüpheli etkinlik konusunda ilk olarak 29 Eylül 2023’te Okta Destek’e bildirimde bulunduğunu doğruladı, ancak hizmet hesabının kötüye kullanıldığını keşfetmeleri 14 gün daha sürdü ve BeyondTrust tarafından bir uzlaşma göstergesi sağlandı.
Saldırganın eylemleri neden daha önce keşfedilmedi?
“Kullanıcı bir destek yazışmasına ekli dosyaları açıp görüntülediğinde, o dosyaya bağlı olarak belirli bir günlük olayı türü ve kimliği oluşturulur. Bradbury, “Eğer bir kullanıcı, tehdit aktörünün bu saldırıda yaptığı gibi doğrudan müşteri destek sistemindeki Dosyalar sekmesine giderse, bunun yerine farklı bir kayıt kimliğine sahip tamamen farklı bir günlük olayı oluşturacaktır” dedi.
“Okta’nın ilk araştırmaları destek vakalarına erişime odaklandı ve ardından bu vakalarla bağlantılı günlükleri değerlendirdik. 13 Ekim 2023’te BeyondTrust, Okta Security’ye tehdit aktörüne atfedilen şüpheli bir IP adresi sağladı. Bu göstergeyle, ele geçirilen hesapla ilişkili ek dosya erişim olaylarını belirledik.”
Tehdit aktörünün 134 Okta müşterisine ait dosyalara yetkisiz erişim sağladığını ve bu müşterilere bilgi verildiğini söyledi.
Son olarak Okta’nın saldırının ardından yaptığı eylemleri anlattı. Çözümün bir parçası olarak güvenliği ihlal edilen hizmet hesabını devre dışı bıraktılar. Gelecekte benzer saldırıları önlemek için:
- Chrome Enterprise’da, çalışanların Okta tarafından yönetilen dizüstü bilgisayarlarında kişisel bir Google profili kullanarak Chrome’da oturum açmasını engelleyen bir yapılandırma seçeneği uygulandı
- Müşteri destek sistemi için ek algılama ve izleme kuralları dağıtıldı ve
- Çalınan/ele geçirilen Okta yönetici oturum belirteçlerinin yetkisiz kullanıcılar tarafından kullanılamaması için ağ konumuna göre oturum belirteci bağlama uygulandı
“Okta yöneticileri artık bir ağ değişikliği tespit edersek yeniden kimlik doğrulaması yapmak zorunda kalacak. Bu özellik, müşteriler tarafından Okta yönetici portalının erken erişim bölümünden etkinleştirilebilir.” diye bitirdi.