Saldırganların kimlik erişimi ve yönetimi (IAM) sağlayıcısı Okta için açık metin kullanıcı parolalarını okumasına ve kurumsal bir ortama geniş kapsamlı erişim elde etmesine olanak tanıyan bir istismar sonrası saldırı yöntemi ortaya çıkarıldı.
Mitiga’dan araştırmacılar, bir kullanıcı oturum açarken yanlışlıkla “kullanıcı adı” alanına girerse, IAM sisteminin Okta kullanıcı parolalarını denetim günlüklerine kaydettiğini keşfetti. Bir şirketin sistemine erişim elde eden tehdit aktörleri daha sonra bunları kolayca toplayabilir, ayrıcalıkları yükseltebilir, ve araştırmacılar, Okta’yı kullanan birden fazla kurumsal varlığa erişim elde edin.
Okta’nın kıdemli güvenlik araştırmacısı Doron Karmi ve baş güvenlik araştırmacısı ve geliştiricisi Or Aspir gönderide, “Araştırmamızda, parolayı geçerli kullanıcıyla eşleştirmek için günlükleri kolayca kullanabiliriz, bu da Okta kullanıcı hesabına kimlik bilgilerinin alınmasıyla sonuçlanır.” Düşmanlar bu kullanıcılar olarak Okta’da oturum açtığında, “saldırının patlama yarıçapını Okta’nın güvence altına aldığı birçok platforma genişletiyor ve sistemlere daha fazla erişim sağlıyor” diye yazdılar.
Güvenlik açığı, Okta denetim günlüklerinin kullanıcı adları, IP adresleri ve oturum açma zaman damgaları dahil olmak üzere kullanıcı etkinliği hakkında ayrıntılı bilgiler sağlaması nedeniyle ortaya çıkar. Günlükler ayrıca başarılı ve başarısız oturum açma girişimleri ve bunların Web tarayıcısı veya mobil uygulama aracılığıyla gerçekleştirilip gerçekleştirilmediği hakkında bilgi sağlar.
Okta Özelliklerinin Savunmasında
Okta, kurumsal kullanıcıları uygulamalar ve cihazlar arasında birbirine bağlayan ve dünya çapında 17.000’den fazla müşteri tarafından kullanılan, bulut tabanlı, kurumsal düzeyde bir IAM hizmetidir. Bulut tabanlı sistemler için tasarlanırken, birçok şirket içi uygulamayla da uyumludur.
Okta’dan temsilciler, Mitiga tarafından sağlanan şirket tarafından yapılan açıklamaya göre, şifresiz metin şifrelerini denetim günlüklerine kaydetmenin “kullanıcıların kullanıcı adı alanına şifrelerini yanlışlıkla girmelerinden beklenen davranış” olduğunu doğruladı. Ayrıca, yalnızca sistemdeki en ayrıcalıklı kullanıcılar olan platform yöneticilerinin açık metin parolalarını kaydeden denetim günlüklerine erişimi olduğunu ve bu kullanıcılara “kötü niyetli faaliyetlerde bulunmamaları konusunda güvenilmesi gerektiğini” söylediler.
Şirketin, kullanıcı şifrelerini nasıl ele aldığına ilişkin olarak platformun yerleşik bir özelliğini savunmak zorunda kaldığı ilk durum bu değil. Şirket, geçtiğimiz Temmuz ayında Authomize araştırmacıları tarafından Okta’nın parola senkronizasyonu mimarisinin, kötü niyetli aktörlerin bir aşağı akış uygulamasının uygulama yöneticisi olarak oturum açmış kötü niyetli aktörlerin, yönetici kimlik bilgileri de dahil olmak üzere şifrelere şifreli kanallar üzerinden bile düz metin olarak erişmesine izin verdiğine dair bir rapora yanıt olarak bir blog yazısı yayınladı.
Bu rapor, tehdit grubu Lapsus$’ın Okta’yı “süper kullanıcı” hesap kimlik bilgileriyle ihlal ettiğini ve dahili sistemlerden aldıklarını iddia ettikleri ekran görüntülerini yayınladığını iddia etmesinden sonra geldi. 366 Okta müşterisinin bu olaydan potansiyel olarak etkilendiği belirlendi, ancak Okta daha sonra yalnızca iki gerçek ihlal tespit ettiğini söyledi.
Güvenilmeyen Kullanıcılar Erişim Kazanırsa Ne Olur?
Araştırmacılar, Mitiga’nın araştırmasının, güvenilir bir yöneticiden başka birinin bu günlüklere erişmesi ve çeşitli şekillerde gerçekleşebilecek verilere erişmesi durumunda alakalı olduğunu söyledi.
Bunun bir yolu, bir saldırganın Splunk gibi bir kuruluşun SIEM çözümündeki günlükleri okuma izninin olması olabilir, çünkü günlükler bu çözüme kaydedilir, dediler. Ayrıca, böyle bir senaryoda, SIEM çözümüne salt okunur erişimi olan her kullanıcı, Okta yöneticileri de dahil olmak üzere potansiyel olarak şifrelere erişebilir.
Araştırmacılar ayrıca, saldırganların “salt okunur” yönetici rolü talep eden bulut güvenlik duruşu yönetimi (CSPM) ürünleri gibi Okta yapılandırmalarını okuma izinlerine sahip üçüncü taraf hizmetleri aracılığıyla günlüklere ve dolayısıyla kullanıcı parolalarına erişebileceğini söyledi. “Rol, denetim günlüklerini okuma yeteneğini içerir, bu da bu ürünlerin/hizmetlerin kullanıcıların kimlik bilgilerini okuyabileceği anlamına gelir” dediler.
Saldırganlar, kullanıcı kimlik bilgilerine erişim elde ettikten sonra, kuruluşun Okta çoklu oturum açma kullanan farklı platformlarından herhangi birinde bu kullanıcılar olarak oturum açmaya çalışabilirler. Araştırmacılar, bu verilerin yönetici parolalarının açığa çıkması durumunda ayrıcalıkları yükseltmek için de kullanılabileceğini söyledi.
Okta Şifrelerini Sızdırmaktan Kaçının
Hem Mitiga araştırmacıları hem de Okta, işletmelerin Okta kimlik bilgilerini yanlışlıkla tehdit aktörlerine ifşa etmekten nasıl kaçınabilecekleri konusunda önerilerde bulundular ve ikincisi, platform kullanıcılarının ilk etapta kullanıcı adı alanına şifrelerini yazmaktan nasıl kaçınabilecekleri konusunda da tavsiyelerde bulundu.
Mitiga, şirketlere şifrelerini yanlışlıkla giren potansiyel kullanıcıları tespit etmek için Mitiga’nın GitHub’ında bulunabilen bir SQL sorgusu kullanmalarını ve ayrıca kullanıcı şifrelerini dönüşümlü olarak değerlendirmelerini tavsiye etti. Ayrıca çalışanları, Okta oturum açma sayfasındaki kullanıcı adı alanına parola girmekten kaçınmaları konusunda eğitmeli ve başarısız oturum açma girişimleri de dahil olmak üzere şüpheli etkinlikler için Okta denetim günlüklerini sürekli izlemeli ve gerekirse araştırmaları takip etmelidirler.
Mitiga’ya göre, çok faktörlü kimlik doğrulamanın (MFA) uygulanması, saldırganlar kullanıcıların kimlik bilgilerini ele geçirse bile yetkisiz erişimi önleyebilir, Okta’nın söylediği bir özellik, Okta yönetici konsoluna erişirken varsayılan olarak uygulanır.
Okta’ya göre “Benzer şekilde, yöneticiler, belirli uygulamalarda oturum açarken ek MFA gerektiren ve kötü bir aktörün gerçekleştirebileceği eylemleri daha da kısıtlayacak bir Kimlik Doğrulama Politikası ayarlayabilir.”
Kullanıcı adı alanına yanlışlıkla parola kaydedilmesini önlemek için Okta kullanıcıları, her alandaki girişin beklenen biçimle eşleştiğini kontrol etmek için alan doğrulaması uygulamalıdır. Ayrıca, kullanıcıların bir kullanıcı adı veya parola bile girmeden tek bir tıklama veya dokunuşla oturum açmasına izin vermek için biyometrik özellikleri veya cihaz aktivasyonunu kullanan Okta’nın FastPass özelliğini de uygulayabilirler. Şirket, Okta’daki “kullanıcı adı” ve “şifre” alanlarını her alanın içindeki yer tutucu metinle açıkça etiketlemenin, kullanıcıların bu hatadan kaçınmasına da yardımcı olabileceğini söyledi.