Mitiga araştırmacıları, bir şirketin Okta etki alanına yapılan başarısız girişlerin, tehdit aktörleri tarafından geçerli hesapların erişim kimlik bilgilerini keşfetmek için kullanılabileceğini buldu.
Bu kimlik bilgileri daha sonra kuruluşun Okta çoklu oturum açma (SSO) kullanan herhangi bir platformunda oturum açmak için veya – oturum açma kimlik bilgileri bir yöneticiye aitse – diğer sistemlere veya kısıtlı ağ alanlarına ayrıcalıklı erişim elde etmek için kullanılabilir.
Günlüklerde geçerli Okta kimlik bilgileri nasıl bulunur?
“Kuruluşlarının Okta etki alanında oturum açarken, bir kullanıcının yanlışlıkla parolasını girmesi oldukça yaygındır. Kullanıcı adı giriş sayfasındaki alan. Bu, oturum açma hatasıyla sonuçlanır. Ancak, bu eylemin talihsiz sonucu, başarısız oturum açma isteğinin Okta denetim günlüklerine kaydedilmesidir,” diye açıkladı Mitiga araştırmacıları Doron Karmi ve Or Aspir.
Bir Okta günlüğünde görüldüğü gibi, kullanıcı adı alanına girilen şifre nedeniyle başarısız bir oturum açma (Kaynak: Mitiga)
Kullanıcı adı olarak girilen parola, günlüklerde düz metin olarak yer alır, bu, günlüklere erişimi olan herkesin okuyabileceği ve parolayı doğru kullanıcı adıyla eşleştirebileceği anlamına gelir.
“Çoğu durumda, kullanıcılar daha sonra başarılı bir giriş yapacak ve gerçek doğru kullanıcı adını günlük dosyasına kaydedecektir” dediler.
Geçerli Okta kimlik bilgilerini bulmaya yönelik bu yöntem, saldırganların Okta denetim günlüklerine erişme ve/veya bunları okuma becerisine bağlıdır.
Okta, araştırmacılara “Bu günlüklere yalnızca Okta’daki en ayrıcalıklı kullanıcılar olan ve kötü niyetli faaliyetlerde bulunmamaları konusunda güvenilmesi gereken Okta yöneticileri tarafından erişilebilir” dedi.
Ancak denetim günlükleri bir kuruluşun güvenlik bilgileri ve olay yönetimi (SIEM) çözümüne kaydedilirse ne olur? Ayrıca şirket, Okta ile entegre olan üçüncü taraf ürün ve hizmetleri kullanıyor olabilir ve bu ürünler, Okta günlüklerini görüntüleme yeteneği anlamına gelen ortam bilgilerini okumak için izin isteyebilir.
Karmi ve Aspir, “Okta ile, Okta’dan alınan günlüklerin şirketin SIEM çözümüne gönderilmesi veya bazı idari izinlerle üçüncü taraf hizmetlerin Okta ile entegre olması durumunda, günlüklerin Okta yöneticisi olmayan kişiler tarafından görülebileceğini doğruladık” dedi. Net Security’ye yardım edin.
Bu, şirketin SOC analistlerinin bu bilgilere erişebileceği anlamına gelir, ancak aynı zamanda entegre üçüncü taraf hizmetlerinin ele geçirilmesiyle sonuçlanan bir tedarik zinciri saldırısı, saldırganların başarısız oturum açma bilgilerini ele geçirmesine ve (sonuç olarak) geçerli kimlik bilgilerini keşfetmesine olanak sağlayabilir.
Risk azaltma
Kuruluş veya uygulama düzeyinde çok faktörlü kimlik doğrulamanın (MFA) yapılandırılması, saldırganlar kullanıcıların kimlik bilgilerini ele geçirse bile yetkisiz erişimin önlenmesine yardımcı olabilir, ancak bu ek korumayı aşmanın yolları vardır (son başarılı saldırıların gösterdiği gibi).
Okta ayrıca yöneticilere şunları tavsiye eder:
- için özel karakter kısıtlamaları oluşturun. Kullanıcı adı şifrelerin girilmesini engelleyen alan
- Yer tutucu metni şuraya koy: Kullanıcı adı Ve şifre kullanıcıya ne tür bir girişin gerekli olduğu konusunda görsel bir ipucu sağlamak için alanlar
- Okta FastPass parolasız kimlik doğrulamasını uygulamayı düşünün
Kuruluşlar ayrıca çalışanlarını dikkatli olmaları ve şifreleri girmekten kaçınmaları konusunda eğitmelidir. Kullanıcı adı Okta oturum açma sayfasındaki alan ve başarısız oturum açma girişimleri ve diğer şüpheli etkinlikler için denetim günlüklerini izleyin.
Araştırmacılar, SIEM çözümleri için, başarısız oturum açma girişimlerini sonraki başarılı oturum açma girişimleriyle bir parola modeliyle eşleştiren ve yanlışlıkla Okta denetim günlüklerinde depolanan kullanıcı kimlik bilgilerini tespit etmek için kullanılabilen bir SQL sorgusu oluşturdu.
“Bu yöntemi kullanarak, yönetici seviyesindeki kullanıcılar da dahil olmak üzere müşterilerimizin verilerinde yüzlerce potansiyel şifre bulabildik” diyen yetkililer, Okta günlüklerinde keşfedilen tüm şifrelerin değiştirilmesi gerektiğine dikkat çekti.
Son olarak, kuruluşlar üçüncü taraf SIEM çözümlerini güvenli bir şekilde kullandıklarından emin olmalıdır. “Çözümün güvenli ve doğru bir şekilde yapılandırıldığından emin olmak çok önemlidir. Bu, erişim kontrollerinin uygulanmasını ve günlüklere herhangi bir yetkisiz erişimin izlenmesini içerir” diye eklediler.