Bir tehdit aktörü, çalınan kimlik bilgileri ile bir Okta destek sistemi yöneticisi hesabına erişerek, Temmuz ayı sonundan bu yana kimlik ve erişim yönetimi sağlayıcısına veya müşterilerinin Okta ortamlarına yönelik ikinci saldırı dizisine işaret etti.
Tehdit aktörü hassas veriler içeren dosyaları görüntülediBazı müşteriler tarafından son destek yazışmalarının bir parçası olarak yüklenen , Okta STK David Bradbury Cuma günü bir blog yazısında söyledi.
Okta, dört müşterisinin saldırıdan yaklaşık iki ay sonra başlayan saldırıdan kaç müşterinin etkilendiğini söylemeyi reddetti. sosyal mühendisliğin kurbanı oldum Yüksek ayrıcalıklı kullanıcıların hesaplarını ele geçiren saldırılar.
Haftalar sonra, MGM Resorts’a Eylül başında düzenlenen fidye yazılımı saldırısıyla bağlantılı tehdit aktörleri, saldırıdan önce otel ve oyun şirketinin Okta ortamına eriştiklerini iddia etti.
Kimlik tabanlı saldırı ilk olarak 2 Ekim’de Okta ile bir ihlal endişesini paylaşan BeyondTrust’un güvenlik ekibi tarafından keşfedildi. Okta’nın güvenlik ekibi, saldırıdan etkilenen Okta müşterisi BeyondTrust ile 11 Ekim’e kadar görüşmedi ve bu durumu doğruladı. BeyondTrust CTO’su Marc Maiffret Cuma günü yaptığı açıklamada, Perşembe günü iç ihlalin yaşandığını söyledi. Blog yazısı.
BeyondTrust’un şirket içi bir Okta yönetici hesabına erişmeye çalışan bir saldırganı keşfetmesi ile Okta’nın onayı ve ifşası arasındaki fark, tehdit aktörünün iki haftadan fazla bir süre boyunca Okta’nın destek sistemine erişimi olduğunu gösteriyor.
Bradbury blog yazısında şunları söyledi: “Okta, etkilenen müşterilerle araştırma yapmak için çalıştı ve müşterilerimizi korumak için yerleşik oturum belirteçlerinin iptali de dahil olmak üzere önlemler aldı.”
Okta belirli soruları yanıtlamayı reddetti ve Bradbury’nin olayla ilgili gönderisine dikkat çekti.
BeyondTrust’un araştırması, tehdit aktörünün, devam eden bir sorun kapsamında BeyondTrust’un Okta’nın destek paneline yüklediği hassas bilgileri içeren bir destek bildiriminden bir oturum çerezine eriştiğini belirledi.
Maiffret blog yazısında, tehdit aktörünün HTTP Arşivi dosyasının yüklenmesinden sonraki otuz dakika içinde BeyondTrust Okta ortamında eylemler gerçekleştirmeye çalıştığını söyledi.
Varsayılan olmayan bir güvenlik politikası yapılandırması, tehdit aktörünün Okta konsoluna erişimini engelledi, ancak saldırgan daha sonra Okta’nın yönetici API’sini kullanarak bir arka kapı kullanıcı hesabı oluşturdu ve Maiffret’e göre bu, BeyondTrust’un güvenlik ekibi tarafından hızla devre dışı bırakıldı.
Okta, etkilenen tüm müşterilerin bilgilendirildiğini söyledi ve Bradbury, destek vaka yönetimi sisteminin tamamen çalışır durumda olan ve etkilenmeyen üretim Okta hizmet ortamından ayrı olduğunu vurguladı.
Tek oturum açma sağlayıcısı, siber saldırıların yüksek profilli ve sık görülen hedefidir. Okta vardı kimlik avı saldırısına uğradıA çiğneme ve onun vardı GitHub kaynak kodu çalındı geçen sene.