Kimlik ve erişim yönetimi çözümlerinin lider sağlayıcısı Okta, yakın zamanda Classic ürününü etkileyen kritik bir güvenlik açığının yamalandığını açıkladı. İlk olarak 17 Temmuz 2024 tarihli bir güncellemeyle ortaya çıkan Okta güvenlik açığı, saldırganların uygulamaya özel oturum açma politikalarına bağlı temel güvenlik kontrollerini atlamasına olanak tanımış olabilir.
27 Eylül 2024’te tespit edilen sorun, 4 Ekim 2024 itibarıyla Okta’nın üretim ortamında tamamen giderildi.
Okta Güvenlik Açığı’nın Doğası
Artık kritik bir güvenlik sorunu olarak tanımlanan güvenlik açığı, Okta Classic kullanan kuruluşlar için önemli riskler oluşturuyordu. Saldırganların uygulamaya özel oturum açma politikalarını atlayarak potansiyel olarak uygulamalara yetkisiz erişim elde etmelerine olanak tanıdı. Bu politikalar genellikle cihaz türü kısıtlamaları, ağ bölgeleri ve hassas bilgileri korumak için tasarlanmış ek kimlik doğrulama katmanları gibi hayati önem taşıyan güvenlik kontrollerini içerir.
Okta’nın resmi güvenlik tavsiyesinde şirket, bu güvenlik açığından yalnızca belirli koşullar altında yararlanılabileceğini belirtti. Güvenlik açığı öncelikle uygulamaya özel oturum açma politikaları uygulayan, özellikle de cihaz türü kısıtlamalarına veya Okta’nın standart Küresel Oturum Politikasının ötesinde diğer gelişmiş güvenlik yapılandırmalarına dayanan kuruluşları etkiledi.
Kusur, komut dosyaları ve yaygın olmayan kullanıcı aracısı türleri de dahil olmak üzere tanınmayan veya “bilinmeyen” cihaz türlerinin kullanımına izin veren oturum açma mantığında bulunuyordu. Bu tür cihaz türlerini kullanan saldırganlar, ek kimlik doğrulama veya cihaz doğrulama gibi belirli güvenlik önlemlerini atlamış olabilir.
Zaman Çizelgesi ve Okta’nın Yanıtı
Okta’nın iç güvenlik ekibi, güvenlik açığını 27 Eylül 2024’te rutin güvenlik değerlendirmeleri sırasında tespit etti. Kapsamlı bir incelemenin ardından, kusurun 17 Temmuz 2024’teki düzenli bir güncelleme sırasında ortaya çıktığı keşfedildi. Okta, Ürün Güvenliği Olay Müdahale Ekibini (PSIRT) derhal etkinleştirdi ve bir düzeltme geliştirmeye başladı.
Sonraki hafta, 27 Eylül’den 3 Ekim 2024’e kadar Okta, gerekli yamaları oluşturmaya ve test etmeye çalıştı. Yama, 4 Ekim 2024 itibarıyla tüm savunmasız ortamlara tamamen dağıtıldı. Kusur yalnızca Okta Classic’i etkilediğinden şirketin modern platformları etkilenmedi.
Okta’nın bu güvenlik açığına yönelik hızlı tepkisi, şirketin en yüksek güvenlik standartlarını sürdürme konusundaki kararlılığının altını çiziyor. Ancak kusurun doğası göz önüne alındığında, kimlik yönetimi için Okta Classic’e güvenen kuruluşların, güvenlik açığı penceresi sırasında sistemlerini herhangi bir yetkisiz erişim belirtisi açısından incelemeleri teşvik edildi.
Sömürü ve Risk Faktörleri
Güvenlik açığının kendisi ciddi bir güvenlik riski oluştursa da, başarılı bir şekilde kullanılması çeşitli faktörlerin bir kombinasyonunu gerektiriyordu. Saldırganların öncelikle kimlik avı, kimlik bilgileri doldurma veya kaba kuvvet saldırıları gibi yöntemlerle geçerli oturum açma kimlik bilgilerini elde etmesi gerekiyordu. Saldırganın, geçerli kimlik bilgileriyle donatıldıktan sonra, kusura duyarlı belirli güvenlik yapılandırmalarına dayanan uygulamaya özel oturum açma ilkelerini kullanarak bir kuruluşu hedeflemesi gerekir.
Kötüye kullanımın en kritik yönü, tanınmayan veya “bilinmeyen” cihaz türlerinin kullanımını içeriyordu. Çoğu durumda bunlar, Okta’nın standart cihaz türü kısıtlamaları tarafından işaretlenmeyen komut dosyaları veya belirsiz tarayıcı türleri olacaktır. Saldırgan böyle bir cihazı kullanarak kimlik doğrulamayı başardığında, aksi takdirde ek kimlik doğrulama isteyecek güvenlik katmanlarını atlayabilir.
Bu güvenlik açığının ciddiyetine rağmen Okta, yararlanma penceresinin sınırlı olduğunu vurguladı. Uygulamaya özel oturum açma ilkelerini kullanmayan veya daha güçlü güvenlik yapılandırmaları kullanan kuruluşlar büyük olasılıkla etkilenmeden kaldı. Ancak Okta Classic’i özel oturum açma ilkeleriyle kullananlar için güvenlik açığı, özellikle Microsoft Office 365 gibi yüksek değerli uygulamalar ve yaygın olarak kullanılan diğer bulut hizmetleri için önemli bir risk teşkil ediyordu.
Etkilenen Kuruluşlar için Öneriler
Okta, kuruluşların güvenlik açığından etkilenip etkilenmediklerini değerlendirmelerine yardımcı olmak için ayrıntılı bir kılavuz yayınladı. Yöneticilerin, herhangi bir yetkisiz erişim veya şüpheli etkinlik belirtisi olup olmadığını görmek için sistem günlüklerini taramaları teşvik edildi. Okta özellikle 17 Temmuz 2024 ile 4 Ekim 2024 tarihleri arasında bilinmeyen kullanıcı aracısı türlerinden gelen başarılı kimlik doğrulama girişimlerinin aranmasını önerdi. Yöneticilerin ayrıca tipik kullanıcı davranışından farklı olan coğrafi konum verilerine, IP adreslerine ve erişim sürelerine de özellikle dikkat etmesi gerekir.
Okta’nın diğer önerileri şunları içeriyordu:
- Günlük Analizi: Bilinmeyen cihazlara bağlı olağandışı etkinlikler, özellikle de kullanıcı aracısı türlerinin “bilinmeyen” olarak işaretlendiği kimlik doğrulama olayları için günlüklerin incelenmesi.
- Başarısız Kimlik Doğrulama Denemeleri: Başarısız oturum açma denemeleri aranıyor; çünkü bunlar, başarılı bir oturum açma öncesinde kimlik bilgilerine dayalı saldırıların göstergesi olabilir.
- Uygulamaya Özel İzleme: Microsoft Office 365 ve Radius gibi müşteri tarafından yapılandırılamayan varsayılan ilke kurallarına tabi uygulamalara çok dikkat etmek.
Etkilenen kuruluşlar bu yönergeleri izleyerek sistemlerinin ihlal edilip edilmediğini belirleyebilir ve daha fazla riski azaltmak için uygun önlemleri alabilir.
Çözünürlük ve İlerleme
Güvenlik açığı, 4 Ekim 2024 itibarıyla Okta’nın üretim ve önizleme ortamlarına resmi olarak yamandı. Okta, müşterilere, yaygın bir istismarın bildirilmediğine ve Küresel Oturum Politikaları uygulanarak Okta Classic kullanan kuruluşların çoğunluğunun bu sorundan etkilenmediğine dair güvence verdi. Ancak şirket, söz konusu dönemde yetkisiz erişimin gerçekleşmediğinden emin olmak için kapsamlı güvenlik kontrolleri yapmanın önemini vurguladı.
Olayın Temel Zaman Çizelgesi:
- 17 Temmuz 2024: Standart bir ürün güncellemesi sırasında ortaya çıkan güvenlik açığı.
- 27 Eylül 2024: Okta’nın dahili ekibi tarafından tespit edilen güvenlik açığı.
- 4 Ekim 2024: Güvenlik açığı, etkilenen tüm ortamlarda düzeltildi.
Kimlik yönetimi çözümlerini kullanan kuruluşlar, yetkisiz erişim riskini en aza indirmek için güvenlik yapılandırmalarını düzenli olarak gözden geçirmeli ve ortaya çıkan tehditleri izlemelidir.