Okta 表示,其支持系统因凭据被盗而遭到破坏

阅读量315309

发布时间 : 2023-10-24 11:07:22

Okta 表示,攻击者在使用窃取的凭据破坏支持管理系统后,访问了包含客户上传到其支持管理系统的 cookie 和会话令牌的文件。

Okta 首席安全官 David Bradbury表示:“威胁行为者能够查看某些 Okta 客户上传的文件,作为最近支持案例的一部分。”

“应该指出的是,Okta 支持案例管理系统与生产 Okta 服务是分开的,后者已全面运行且未受到影响。”

Okta 的 CSO 补充说,这一事件并未影响 Auth0/CIC 案例管理系统。Okta 通知了其 Okta 环境或支持票证受到该事件影响的所有客户。那些没有收到警报的人不受影响。

会话令牌和 cookie 暴露

虽然该公司尚未提供有关在此次攻击中暴露或访问了哪些客户信息的详细信息,但在此次攻击中遭到破坏的支持案例管理系统还用于存储 HTTP 存档 (HAR) 文件,这些文件用于复制用户或管理员错误,以解决各种问题。用户报告的问题。

它们还包含敏感数据,例如 cookie 和会话令牌,威胁行为者可以利用这些数据来劫持客户帐户。

“HAR 文件代表浏览器活动的记录,并且可能包含敏感数据,包括访问的页面内容、标头、cookie 和其他数据,”Okta在其支持门户网站上解释道。

“虽然这允许 Okta 工作人员复制浏览器活动并解决问题,但恶意行为者可能会使用这些文件来冒充您。”

该公司在事件调查期间与受影响的客户合作,并撤销了共享 HAR 文件中嵌入的会话令牌。现在,它建议所有客户在共享之前清理其 HAR 文件,以确保它们不包含凭据和 cookie/会话令牌。

Okta 还分享了调查期间观察到的妥协指标列表,包括与攻击者相关的 IP 地址和网络浏览器用户代理信息。

当 BleepingComputer 今天早些时候联系时,Okta 发言人没有回答有关违规日期以及有多少客户受到影响的问题。

相反,该发言人表示,支持系统“与生产 Okta 服务是分开的,后者已全面运行且未受到影响。我们已通知受影响的客户,并采取措施保护所有客户。”

BeyondTrust 在尝试违规后发现了违规行为

身份管理 BeyondTrust 表示,它是受影响的客户之一,并提供了有关该事件的更多见解。

BeyondTrust 的安全团队于 10 月 2 日检测到并阻止了使用从 Okta 支持系统窃取的 cookie 登录内部 Okta 管理员帐户的尝试。

虽然 BeyondTrust 联系了 Okta 并向他们提供了取证数据,显示他们的支持组织受到了损害,但 Okta 花了两周多的时间才确认此次泄露。

“我们于 10 月 2 日向 Okta 提出了对违规行为的担忧。由于没有收到 Okta 确认可能存在违规行为,我们坚持在 Okta 内部升级,直到 10 月 19 日 Okta 安全领导层通知我们他们确实遇到了违规行为,我们他们的一位受影响的客户,” BeyondTrust 说

BeyondTrust 表示,这次攻击受到“自定义策略控制”的阻止,但由于“Okta 安全模型的限制”,恶意行为者能够执行“一些有限的操作”。

尽管如此,该公司表示,攻击者并未访问其任何系统,其客户也没有受到影响。

BeyondTrust 还分享了以下攻击时间表:

2023 年 10 月 2 日– 检测到并修复针对内部 Okta 管理员帐户的以身份为中心的攻击,并向 Okta 发出警报 2023 年 10
月 3 日– 鉴于初步取证表明 Okta 支持组织内部存在妥协,要求 Okta 支持人员将问题升级给 Okta 安全团队
10 月 11 日,2023 年和 2023 年 10 月 13 日– 与 Okta 安全团队举行 Zoom 会议,解释为什么我们认为他们可能受到损害。
2023 年 10 月 19 日– Okta 安全领导层确认他们存在内部漏洞,BeyondTrust 是他们受影响的客户之一。

Cloudflare 也受到影响

Cloudflare 还在 2023 年 10 月 18 日星期三在其服务器上发现了与 Okta 漏洞相关的恶意活动。

该公司表示:“虽然这是一次令人不安的安全事件,但我们的安全事件响应团队 (SIRT) 的实时检测和及时响应实现了遏制,并将对 Cloudflare 系统和数据的影响降至最低。”

“我们已经核实,没有 Cloudflare 客户信息或系统受到此事件的影响。”

攻击者利用从 Okta 支持系统窃取的身份验证令牌,使用具有管理权限的开放会话进入 Cloudflare 的 Okta 实例。

Cloudflare 在收到影响 Okta 系统的漏洞警报之前 24 小时就该事件联系了 Okta。

“在我们的案例中,威胁行为者似乎能够从 Cloudflare 员工创建的支持票证中劫持会话令牌。威胁行为者使用从 Okta 提取的令牌于 10 月 18 日访问了 Cloudflare 系统。”云焰说道。

“在这次复杂的攻击中,我们观察到威胁行为者破坏了 Okta 平台内两个独立的 Cloudflare 员工帐户。”

不到2年多起安全事件

去年,Okta 披露,Lapsus$ 数据勒索组织于 2022 年 1 月获得对其管理控制台的访问权限后,其部分客户数据被泄露。

通过短信发送给 Okta 客户的一次性密码 (OTP) 也被Scatter Swine 威胁组织(又名 0ktapus)窃取,该组织于 2022 年 8 月入侵了云通信公司 Twilio。

Okta 旗下的身份验证服务提供商 Auth0 还在 9 月份透露,一些较旧的源代码存储库被使用未知方法从其环境中窃取。

去年 12 月,在该公司的私人 GitHub 存储库遭到黑客攻击后,Okta 披露了自己的源代码被盗事件。

本文转载自:

如若转载,请注明出处: https://www.bleepingcomputer.com/news/security/okta-says-its-support-system-was-breached-using-stolen-credentials/#google_vignette

安全客 - 有思想的安全新媒体

分享到:微信
+179赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66