前情回顾
身份安全公司Authomize的研究人员认为,身份服务提供商Okta正面临严重安全漏洞。这些漏洞可能导致恶意黑客远程访问该平台、提取明文密码、冒充下游应用程序用户,并通过篡改日志内容隐藏行为证据。
然而,Okta却向研究人员表示,这些问题是功能,而非bug,Okta应用是按照预期设计运行。
今年1月,黑客团伙Lapsus$宣布使用“superuser”账户入侵了Okta,并发布了据称获取自内部系统的屏幕截图。事后确认,共有366名Okta客户因此受到影响。
Authomize公司CTO Gal Diskin在安全分析报告中表示,“今年年初的Okta入侵事件公开后,我们开始重点研究在Okta平台上获得最小访问权限,恶意黑客可以采取何种行动。”
Diskin表示,Okta的密码同步架构允许恶意黑客以明文形式访问密码,包括管理员凭证,甚至可以经由加密通道实现访问。为此,攻击者需要以下游应用程序(例如客服代理或财务运营团队)的管理员身份登录Okta系统,再据此重新配置系统,通过跨域身份管理(SCIM)获取任意Okta用户的密码。
报告显示,“要提取明文密码,恶意黑客需要获得应用程序的管理员权限。”鉴于各种规模组织(特别是企业)内的用户数量不断攀升,Diskin认为从统计数据来看,应用程序管理员权限外泄的可能性已经非常高。
Verizon 2022年数据泄露调查报告发现,有82%的泄露事件涉及凭证被盗和网络钓鱼等元素。更令人担忧的是,应用程序管理员往往并未被视为高权限身份。
研究人员指出,对Okta来说,密码之所以会以明文形式存在,是因为其缺少可靠的标准协议进行哈希同步。Authomize还提到,Okta方面已经承诺由产品团队认真研究密码泄露风险。
附:研究人员发现Okta的4个影响较大的安全风险
通过跨域身份管理(SCIM)提取明文密码,应用管理员可以提取其它高权限账号的密码;
通过未加密通道(HTTP)传输密码和敏感数据,SCIM服务器与Okta之间的所有流量可被嗅探;
Hub & Spoke架构下,子组织管理员可以仿冒主组织超级管理员账号,获取超管权限;
用户可修改姓名,身份可变导致日志欺骗。
参考资料:https://www.darkreading.com/application-security/okta-exposes-passwords-clear-text-theft
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。