Kimlik hizmetleri sağlayıcısı Okta Cuma günü, kimliği belirsiz tehdit aktörlerinin destek vaka yönetimi sistemine erişmek için çalınan kimlik bilgilerinden yararlanmasına olanak tanıyan yeni bir güvenlik olayını açıkladı.
Okta’nın güvenlik şefi David Bradbury, “Tehdit aktörü, son destek vakalarının bir parçası olarak belirli Okta müşterileri tarafından yüklenen dosyaları görüntüleyebildi” dedi. “Okta destek vaka yönetimi sisteminin, tamamen çalışır durumda olan ve etkilenmeyen üretim Okta hizmetinden ayrı olduğunu belirtmek gerekir.”
Şirket ayrıca Auth0/CIC vaka yönetimi sisteminin ihlalden etkilenmediğini vurgulayarak, etkilenen müşterileri doğrudan bilgilendirdiğini belirtti.
Ancak müşteri destek sisteminin, sorun giderme amacıyla son kullanıcı veya yönetici hatalarını çoğaltmak amacıyla HTTP Arşivi (HAR) dosyalarını yüklemek için de kullanıldığı belirtildi.
Okta, “HAR dosyaları aynı zamanda kötü niyetli aktörlerin geçerli kullanıcıların kimliğine bürünmek için kullanabileceği çerezler ve oturum belirteçleri dahil olmak üzere hassas veriler de içerebilir” diye uyardı.
Ayrıca, kötüye kullanımı önlemek için yerleşik oturum belirteçlerinin iptal edilmesini sağlamak amacıyla etkilenen müşterilerle birlikte çalıştığını söyledi.
Okta, saldırının boyutunu, olayın ne zaman gerçekleştiğini ve yetkisiz erişimi ne zaman tespit ettiğini açıklamadı. Mart 2023 itibarıyla 17.000’den fazla müşterisi bulunmakta ve 50 milyara yakın kullanıcıyı yönetmektedir.
Bununla birlikte BeyondTrust ve Cloudflare, en son destek sistemi saldırısında hedef alındıklarını doğrulayan iki müşteri arasında yer alıyor.
Cloudflare, “Tehdit aktörü, bir Cloudflare çalışanı tarafından oluşturulan bir destek biletinden bir oturum jetonunu ele geçirmeyi başardı” dedi. “Tehdit aktörü, Okta’dan alınan tokenı kullanarak 18 Ekim’de Cloudflare sistemlerine erişti.”
Web altyapısı ve güvenlik şirketi, bunu karmaşık bir saldırı olarak nitelendirerek, etkinliğin arkasındaki tehdit aktörünün Okta platformundaki iki ayrı Cloudflare çalışan hesabını ele geçirdiğini söyledi. Ayrıca etkinlik sonucunda hiçbir müşteri bilgisine veya sistemine erişilemediği belirtildi.
BeyondTrust, ihlali Okta’ya 2 Ekim 2023’te bildirdiğini söyledi ancak Cloudflare’e yapılan saldırı, düşmanın destek sistemlerine en az 18 Ekim 2023’e kadar erişebildiğini gösteriyor.
Kimlik yönetimi hizmetleri firması, Okta yöneticisinin bir destek sorununu çözmek için 2 Ekim’de sisteme bir HAR dosyası yüklediğini ve dosyanın paylaşılmasından sonraki 30 dakika içinde oturum çereziyle ilgili şüpheli etkinlik tespit ettiğini söyledi. BeyondTrust’a yönelik saldırı girişimleri sonuçta başarısız oldu.
Şirketin bir sözcüsü The Hacker News’e şunları söyledi: “BeyondTrust, kendi kimlik araçları olan Identity Security Insights aracılığıyla saldırıyı anında tespit edip düzeltti; bu da BeyondTrust’un altyapısına veya müşterilerine herhangi bir etki yaratmadı veya bu durumun açığa çıkmasına neden olmadı.”
Bu gelişme, son birkaç yıldır Okta’yı öne çıkaran uzun güvenlik aksaklıkları listesinin sonuncusu. Şirket, tek oturum açma (SSO) hizmetlerinin dünyanın en büyük şirketlerinden bazıları tarafından kullanılması nedeniyle bilgisayar korsanlığı ekipleri için yüksek değerli bir hedef haline geldi.