Hackerlar Okta destek biriminden erişim token’ları çaldı
(krebsonsecurity.com)- Okta’nın müşteri destek sistemi ihlali nedeniyle bazı müşterilerin destek vakalarına yüklediği dosyalar açığa çıktı ve saldırganların engellenmeden önce destek platformuna en az 2 hafta erişmiş olduğu düşünülüyor
- Saldırganlar çalınmış kimlik bilgileriyle destek vaka yönetim sistemine girdi ve müşterilerin sorun gidermek için gönderdiği HAR dosyalarını görüntüleyebildi
- HAR dosyaları çerezler ve oturum token’ları içerebildiği için, bunların ele geçirilmesi saldırganların geçerli bir kullanıcı gibi oturumu yeniden kullanmasına yol açabilir
- BeyondTrust, 2 Ekim’de kendi Okta ortamında yönetici hesabı oluşturma girişimini tespit etti; bundan 30 dakika önce ise geçerli bir Okta oturum token’ı içeren bir HAR dosyasını Okta ile paylaşmıştı
- Okta, 18.000’den fazla müşterisinin yaklaşık %1’ine, yani yaklaşık 170 kuruluşa bildirim gönderdi; 1Password ve Cloudflare da kendi Okta kimlik doğrulama platformlarının etkilendiğini açıkladı, ancak müşteri verileri ya da sistemler üzerinde bir etki olmadığını belirtti
Vaka yönetim sisteminde açığa çıkan müşteri dosyaları
- Okta, çok faktörlü kimlik doğrulama ve tek oturum açma dahil kimlik araçlarını binlerce şirkete sağlayan bir şirket ve bu olay müşteri destek biriminin ihlaliyle başladı
- 19 Ekim’de bazı müşterilere gönderilen bildirimde, çalınmış kimlik bilgilerinin destek vaka yönetim sistemine erişmek için kullanıldığı belirtildi
- Saldırganlar, bazı Okta müşterilerinin yakın tarihli destek vakalarına yüklediği dosyaları görebildi
- Etki alanı başlangıçta “çok az sayıda” olarak tanımlandı; sonrasında bunun müşteri tabanının yaklaşık %1’i olan yaklaşık 170 kuruluş olduğu doğrulandı
HAR dosyalarının neden riskli hale geldiği
- Okta, müşteri sorunlarını çözerken bazen web tarayıcı oturum kayıtları olan HTTP Archive(HAR) dosyalarını talep ediyor
- HAR dosyaları, müşterilerin çerezlerini ve oturum token’larını içerebildiği için hassas kabul ediliyor
- Saldırganlar, dosya içindeki çerezler veya token’larla geçerli bir kullanıcı gibi davranabilir
- Okta, etkilenen müşterilerle birlikte inceleme yürüttüğünü ve yerleşik oturum token’larının iptali gibi koruyucu önlemler aldığını söyledi
- HAR dosyası paylaşmadan önce tüm kimlik bilgileri, çerezler ve oturum token’ları çıkarılmalı
BeyondTrust’un yakaladığı saldırı akışı
- Güvenlik şirketi BeyondTrust, Okta’nın 19 Ekim bildirimini alan müşterilerden biriydi
- BeyondTrust CTO’su Marc Maiffret, söz konusu bildirimin, BeyondTrust’un Okta’yı olası bir sorun hakkında uyarmasından 2 haftadan fazla süre sonra ulaştığını söyledi
- BeyondTrust güvenlik ekibi, 2 Ekim’de birinin kendi mühendislerinden birine atanmış Okta hesabını kullanarak şirketin Okta ortamında güçlü bir yönetici hesabı oluşturmaya çalıştığını tespit etti
- İlgili çalışan hesabının etkinliği incelendiğinde, yetkisiz faaliyetten 30 dakika önce destek mühendisinin Okta’nın talebi üzerine geçerli bir Okta oturum token’ı içeren bir HAR dosyasını Okta ile paylaştığı görüldü
- Saldırganlar, tarayıcı kayıtlarındaki çerezleri kullanarak oturum ele geçirme girişiminde bulundu ve ilgili kullanıcı adına işlem yapmaya çalıştı
- BeyondTrust, 3 Ekim’de Okta’ya büyük olasılıkla bir ihlal yaşandığını bildirdi ve 11 Ekim ile 13 Ekim’deki görüşmelerde de aynı değerlendirmeyi paylaştı
- BeyondTrust, saldırıyı devam ederken tespit ettiğini ve kendi müşterilerinin etkilenmediğini açıkladı
Okta’nın yanıtı ve geriye kalan sorular
- Okta Deputy CISO’su Charlotte Wylie, 2 Ekim’de BeyondTrust’tan gelen bildirimi ilk etapta kendi sistemlerinde bir ihlalin sonucu olarak değerlendirmediklerini söyledi
- 17 Ekim’e kadar Okta olayı tespit edip engelledi, ele geçirilmiş müşteri vaka yönetim hesabını devre dışı bıraktı ve ilgili Okta erişim token’larını geçersiz kıldı
- Wylie, olası güvenlik sorunu bildirimini alan müşteri sayısını tam olarak açıklamadı, ancak 18.000’den fazla müşteri içinde “çok, çok küçük bir bölüm” ifadesini kullandı
- Saldırganların şirketin vaka yönetim hesabına ne kadar süre eriştiği ve saldırının arkasında kimin olduğu açıklanmadı
- Wylie, bu saldırının arkasındaki kişilerin Okta’yı ve belirli Okta müşterilerini daha önce de hedef almış bilinen bir tehdit aktörü olduğunu söyledi
İlgili ihlaller ve sonraki açıklamalar
- Okta’nın açıklaması, Caesar’s Entertainment ve MGM Resorts saldırılarından yalnızca birkaç hafta sonra geldi
- İki casino şirketi vakasında saldırganlar, çalışanları sosyal mühendislikle kandırarak Okta yönetici hesabının çok faktörlü kimlik doğrulama oturum açma gereksinimlerini sıfırlamalarını sağladı
- Mart 2022’de Okta, sosyal mühendislik saldırılarında uzmanlaşmış korsan grup LAPSUS$ ile ilişkili bir ihlali açıkladı
- Okta’nın olay sonrası raporuna göre LAPSUS$, Okta kaynaklarına erişim yetkisi bulunan üçüncü taraf dış kaynak sağlayıcısı Sitel’in bir destek mühendisinin iş istasyonuna sosyal mühendislik yoluyla erişti
- Okta daha sonra olayla ilgili bir blog yazısı yayımladı ve müşterilerin etkilenip etkilenmediğini doğrulayabilmesi için ihlal göstergeleri ekledi
- Etkilenen tüm müşterilere bildirim gönderildiğini belirtti
- Ayrı bir bildirim almayan Okta müşterilerinin ortamları veya destek taleplerinin etkilenmediğini özellikle vurguladı
- BeyondTrust da kendi soruşturma sonuçlarını yayımladı
- 24 Ekim güncellemesinde 1Password ve Cloudflare, Okta ihlalinin sonucu olarak kendi Okta kimlik doğrulama platformlarının etkilendiğini açıkladı
- Her iki şirket de soruşturmalarının sonucunda müşteri bilgileri veya sistemlerinin etkilenmediğini belirtti
- Okta sözcüsü, TechCrunch’a müşteri tabanının yaklaşık %1’i olan yaklaşık 170 kuruluşa bildirim gönderildiğini söyledi
1 yorum
Hacker News yorumları
Bu makaledeki komik kısım şu: Okta, şüpheli tenant etkinliğinden üçüncü bir taraf tarafından haberdar edilmiş; başta ihlale dair kanıt bulamamış, ancak BeyondTrust ısrar etmeye devam ettikten sonra yeniden inceleyip ihlali doğrulamış
Okta burada bir blog yazısı yayımladı: https://sec.okta.com/harfiles
Açılış ifadesi “Okta Security has identified adversarial activity”, ama üçüncü taraf bildiriminden söz edilmiyor. Ne güzel şeffaflık
Başlık berbat; ne şeffaf ne de doğrudan. BeyondTrust’un 2 Ekim’de, HAR dosyasını Okta Support’a yükledikten 30 dakika sonra kendilerini uyardığı gerçeğinden Okta’nın hiç bahsetmemiş olması gerçekten çok kötü
“Okta’nın CISO yardımcısı Charlotte Wylie, Okta’nın başlangıçta BeyondTrust’un 2 Ekim’deki uyarısının kendi sistemlerindeki bir ihlalin sonucu olmadığını düşündüğünü söyledi. Ancak 17 Ekim’e gelindiğinde şirketin olayı tespit edip engellediğini söyledi”
Yani siber güvenlik ve kimlik doğrulama uzmanı olduğu söylenen bir şirkete hacklendikleri 30 dakika içinde bildirilmiş, şirket bunun yanlış olduğunu söylemiş ve 15 gün boyunca kabul etmezken saldırgan ortalıkta cirit atmış
Wylie, daha iyisini yapmalısın
Orijinal makalede bağlantısı verilen şu blog yazısına bakmak yeterli. Okta müşterilerinden biri olan güvenlik şirketi, Okta ile HAR dosyası paylaştıktan hemen sonra kendi ağında şüpheli etkinlik tespit edip Okta’ya ihlali bildirmiş
https://www.beyondtrust.com/blog/entry/okta-support-unit-bre...
Muhtemelen girişten sonra IP’nin değiştiğini karmaşık bir şekilde ifade ediyorlar. Tabii en kolay çözüm, aktif oturumlara ait HAR dosyalarını gönüllü olarak paylaşmamak
Bu söz popüler olmayacak ama OAuth, SAML ve 2FA ile çalışan SSO çekirdek geçidi, SaaS’in “kolay düğmesine” basmak yerine on-premise olarak işletilmeli değil mi diye düşünüyorum
Buna yalnız Okta değil, Auth0 (Okta satın aldı), Authy ve Duo da dahil
Her yazılımda güvenlik hataları vardır; on-premise yazılımlar da istisna değil. Birçok IT organizasyonunun dizinleri işletip koruyacak uzmanlığı yok. Bu, yazılımı kurup birkaç hesap oluşturup köşeye bırakmak değil; felaket kurtarma, yedek testleri ve ihlal olup olmadığını belirleme gibi çok zor işleri de kapsar
On-premise IT güvenliğinin bulut sağlayıcılarının güvenliğinden daha iyi olduğunu kimse kanıtlamış değil. Kendi gördüğüm on-premise IT departmanları arasında güvenliği çok kötü olanlar da vardı: 2010–2020 arasında bile MD5 sertifikaları kullanan VPN işletenler; kimliği doğrulanmamış kullanıcıların sosyal güvenlik/vergi numarası, adres, ad, telefon numarası gibi kişisel verilere erişebildiği web servisleri dağıtanlar; hemşirelere hasta notları yazmaları için reklam destekli metin editörü verenler; bilinen güvenlik hataları olan, desteği bitmiş Redcap sürümlerini güncellemeyenler vb.
Bildiğim kadarıyla Redcap, tıbbi araştırmalar ve halk sağlığı istatistiklerinin hesaplanmasında kullanılan bilgileri saklayan bir yazılım ve çok sayıda hassas veri içeriyor
Asıl nokta şu: Buluttan on-premise’e geçmek güvenliği artırabilir de artırmayabilir de. Bu, tek tek IT organizasyonlarının yetkinliğine bağlı; birçok organizasyonun Okta gibi kimlik servislerini işletme kapasitesi yok. Ayrıca bulut sağlayıcılarının genelde bütçesi çok daha büyük ve maliyetleri çok sayıda müşteriye yayabildikleri için güvenlik uzmanlarına, sistem korumasına ve ihlal tespitine daha fazla yatırım yapabiliyorlar
Böyle yöneticilere ve üst düzey yöneticilere hiç soru sorulmuyor
Gerçekten de hiç ağa bağlanmayan sistemlerde yazılım yazıp test edebilirsiniz. Şaşırtıcı ama doğru
Kimlik sağlayıcıları, parola yöneticileri ve VPN şirketleri gibi yerler asla hacklenmemeli. Bunlar güvenlik ürünlerinden para kazanan şirketler ve ihlale uğramış olanları kullanmam. Daha derin bir sorun olma ihtimali yüksek
Varsayılan varsayım hepsinin ihlal edilebileceği olmalı; ihlal edilmeyeceklerini kanıtlama yükü de onlarda. Defalarca beceriksizlik göstermiş kişilere iyi niyet atfetmek yerine, hacklenmeyecekleri yönündeki olağanüstü iddiayı destekleyen pozitif kanıtları beklemek daha ihtiyatlı görünüyor
Yeterince yetkin ve sorumluysalar bunu tespit edip açıklarlar, ama çoğunun bunu yapacağını sanmıyorum. Çünkü tam da sizin gibi insanlar kullanmayı bırakır. Bu yüzden az da olsa endişe duyan herkes çevrimdışı, self-hosted, kendi yaptığı alternatifleri kullanmalı
Okta'nın bir ay boyunca hacklenmeme challenge'ı: imkânsız zorluk seviyesi
Şakayı bir kenara bırakırsak, Okta sanki pwn'lanmayı seviyor gibi görünüyor. Bu tür olaylar yüzünden hisse fiyatı sürekli düşerse değişim olur diye umarsınız, ama öyle görünmüyor
Şeytan ayrıntıda gizli. Muhtemelen zero trust ile işletiyorlardı
Bir yandan bu, çekirdek ürün ihlali değildi. Öte yandan her çekirdek ürün ihlaline dolaylı bir çekirdek dışı ihlal eşlik eder
Rakipleri Auth0'ı satın almalarına izin verilmiş olması ne kadar da iyi olmuş
Bir gün bir konferans sunumunda, çeşitli şirketlerin destek rollerine para verip insan yerleştirdikten sonra, onlara verilen sistem erişimleriyle o şirketleri ihlal etme deneyini yapacağım
E-postanın altında şöyle yazıyordu
“Bu bilgi Okta'nın gizli bilgisidir ve kuruluşunuzun dışıyla paylaşılmamalıdır”
Açıkçası epey komik