Bir Okta kullanıcısı yanlışlıkla kullanıcı adı alanına şifre girdiğinde ne olur? Araştırmacılar, saldırganların bunları, kuruluşun kullandığı güvenlik bilgileri ve olay yönetimi (SIEM) ürününden denetim günlüklerini okuyarak Okta kullanıcı ayrıntılarını almak için kullandığını ortaya çıkardı.
Okta’daki potansiyel bir istismar sonrası saldırı yöntemi, tehdit aktörlerinin kullanıcıların denetim günlüklerindeki parolalarını ve kimlik bilgilerini okumasına olanak tanır.
Okta’ya göre, başarısız oturum açma girişimlerinin günlüklerine yalnızca son derece güvenilir olan ayrıcalıklı Okta yöneticileri erişebilir.
Siber güvenlik firması Mitiga’daki araştırmacılar, Okta yöneticisi olmayan diğer kullanıcıların günlükleri ve dolayısıyla Okta kullanıcı ayrıntılarını okuyabileceğine dikkat çekti.
“Sömürü sonrası, bir oturum açıldıktan sonra gerçekleştirilen herhangi bir eylemi ifade eder. Oturum, başarılı bir açıktan yararlanma veya kaba kuvvet saldırısından kaynaklanan açık bir kabuktur. Bir kabuk, standart bir kabuk veya Meterpreter olabilir,” diyor bir Rapid7 açıklayıcısı.
Şifreler, hatalar ve Okta kullanıcı detayları
Kullanıcıların yanlışlıkla yanlış erişim sütunlarına şifre girmeleri çok eski bir hatadır. Ancak, araştırmacılar saldırganların SIEM ürün günlüklerinden bilgileri toplayabildiğini keşfettiklerinden, bu hatayı günlüğe kaydetmek Okta kullanıcı ayrıntılarının alınmasını kolaylaştırır.
“Mitiga’da biz müşterilerimizin güvenlik kayıtlarını topluyoruz. Mitiga Baş Güvenlik Araştırmacısı ve Geliştiricisi Or Aspir, The Cyber Express’e verdiği demeçte, tehdit avı amacıyla günlüklere bakarken, başarısız oturum açma girişimlerinde, günlük kayıtlarının kullanıcı adı alanında olduğunu keşfettik.
“Daha sonra bu senaryonun login adımında kullanıcı adı alanına şifresini yanlışlıkla girmesi ile gerçekleştiğini anladık. Bu senaryo oldukça sık gerçekleşir. Müşterilerimizin günlüklerinde bunun gibi onlarca hatta yüzlerce kullanıcı şifresi bulduk.”
Bu bilgi, çeşitli yöntemlerle MFA’yı atlamalarını sağlar.
Mitiga ekibi, denetim günlüklerinde Okta kullanıcı kimlik bilgileri olup olmadığını tespit etmek için kullanılabilecek sonraki başarılı oturum açma girişimleriyle başarısız oturum açma girişimlerini bir parola modeliyle eşleştirmek için bir SQL sorgusu oluşturdu.
Okta kullanıcı günlükleri ve olası tehditler
Mitiga araştırmacıları, tehdit aktörlerinin bu verileri Okta kullanıcı hesaplarını tehlikeye atmak ve erişebilecekleri herhangi bir kaynak veya uygulamaya erişmek için kullanabileceğini ve saldırının patlama yarıçapını etkili bir şekilde genişletebileceğini buldu.
Bu, hassas verileri, fikri mülkiyeti, finansal bilgileri veya müşteri verilerini içerebilir.
Denetim günlüklerine doğrudan yönetici konsolu aracılığıyla veya günlüklerin gönderildiği üçüncü taraf sistemler aracılığıyla erişimi olan herkes, oturum açma girişimleri sırasında ‘kullanıcı adı’ bölümüne yanlış yerleştirilmiş Okta kullanıcılarının şifrelerini okuyabilir.
“En büyük risk, kurban Okta denetim günlüklerini okuma yeteneğine sahip bir saldırganın, kullanıcıların parolalarını toplayıp bu kullanıcılar olarak oturum açabilmesidir. Bir SOC analisti çalışanının CEO oturum açma parolasını nasıl okuyabildiğini bir düşünün,” dedi Or, The Cyber Express’e.
Okta kullanıcı riskleri ve olası azaltma adımları
Mitiga tehdit değerlendirme raporunu okuyun: “Okta kullanıcı parolalarının kullanıcı adı alanına yanlışlıkla girilip girilmediğini ve şirket günlüklerinde açığa çıkıp çıkmadığını tespit etmek için kuruluşlar, günlük analitiği platformlarını veya Okta günlüklerinin depolandığı SIEM’i kullanabilir.”
“Şirketlerin bu potansiyel parola açıklarını belirlemesine yardımcı olabilecek bir SQL sorgusu oluşturduk. Ancak bu sorgu, destekledikleri belirli sözdizimi ve işlevlere bağlı olarak diğer log analizi platformlarına da uyarlanabilir.”
Mitiga, Okta’yı 21 Şubat’ta bilgilendirdi Or, The Cyber Express’e söyledi. Şirket olası riskleri kabul etti, ancak yalnızca ayrıcalıklı Okta yöneticilerinin başarısız oturum açma girişimlerinin günlüklerine erişebileceğini ileri sürdü.
“Okta, başarısız oturum açma girişimlerini günlüğe kaydeder ve hatalı kullanıcı adını günlüklere dahil eder. Bu günlüklere yalnızca Okta’daki en ayrıcalıklı kullanıcılar olan ve kötü niyetli faaliyetlerde bulunmadığına güvenilmesi gereken Okta yöneticileri tarafından erişilebilir.”
Mitiga araştırmacıları, “Salt Okunur Yönetici” rolüne sahip kullanıcıların bile Okta platformundaki günlükleri okumasının istenmeyen bir durum olduğuna dikkat çekti. Ayrıca, Okta denetim günlükleri genellikle bir SIEM ürününe iletilir ve Okta yöneticisi olmayan kullanıcılara erişim sağlar.
Veya Okta ekibinin başarısız girişleri kaydetme şeklini değiştirmeyeceğine dikkat çekti. Okta kullanıcı verilerini yetkisiz erişimden korumak için, Veya müşterilerin aşağıdaki önerileri izlemesi önerilir:
Alanları doğrula: Her alandaki girdinin beklenen biçime uygun olduğundan emin olmak için istemci tarafı doğrulamayı kullanın. Kullanıcı adı alanı için, Okta’nın işlevselliği kullanılarak özel karakter kısıtlamaları oluşturulabilir.
FastPass’ı Entegre Edin: Okta’nın FastPass özelliği ile kullanıcılar, kullanıcı adı veya parolaya ihtiyaç duymadan tek bir tıklama veya dokunma ile oturum açabilir. Bu özellik, kullanıcının kimliğini doğrulamak, süreci kolaylaştırmak ve yüksek güvenlik standartlarını sürdürmek için biyometrik faktörlerden veya cihaz kimlik doğrulamasından yararlanır.
Net etiketler kullanın: Kullanıcılara yardımcı olmak için, kullanıcı adı ve parola alanları için net etiketler sağlayın. Kullanıcı için görsel bir ipucu işlevi gören her alana yer tutucu metin ekleyebilirsiniz.