前情回顾·身份供应商攻击兴起

安全内参10月23日消息,美国企业身份软件巨头Okta表示,攻击者使用窃取的凭证入侵其支持管理系统,访问了包含客户上传的Cookie和会话令牌的文件。

Okta首席安全官David Bradbury表示:“威胁行为者能够查看近期支持案例中某些Okta客户上传的文件。”

“值得注意的是,Okta支持案例管理系统与生产Okta服务是分开的,后者完全正常运行,没有受到影响。”

David Bradbury补充说,这一事件不影响Auth0/CIC案例管理系统。Okta通知所有受事件影响的客户,他们的Okta环境或支持工单受到了影响。如果客户没有收到警报,表明其未受影响。

会话令牌和Cookie遭泄露

Okta尚未提供此次入侵泄露或访问的受影响客户信息。不过,此次攻击中被入侵的支持案例管理系统也存储了HTTP存档(HAR)文件,这些文件用于复制用户或管理员错误,从而排除用户报告的各种问题。

这些文件还包含敏感数据,例如Cookie和会话令牌。威胁行为者可能会使用这些数据来劫持客户帐户。

Okta在支持管理系统门户网站上解释:“HAR文件记录了浏览器活动,可能包含敏感数据,包括访问的页面内容、Header、Cookie等数据。”

“Okta员工使用这些文件可以复制浏览器活动,并排除问题。然而,恶意行为者可能利用这些文件冒充您。”

在事件调查期间,Okta与受影响的客户合作,吊销了嵌入共享HAR文件的会话令牌。现在,Okta建议所有客户清洗待分享的HAR文件,确保其中不包括凭证和Cookie/会话令牌。

Okta还分享了在调查期间观察到的感染指标列表,包括与攻击者相关的IP地址和Web浏览器用户代理信息。

外媒BleepingComputer联系Okta时,该公司发言人没有回应有关入侵日期以及受到影响的客户数量的问题。

不过,发言人表示,支持系统“与生产Okta服务分开,后者完全正常运行,没有受到影响。我们已通知受影响客户,并采取措施保护所有客户。”

入侵者首次尝试,即被ByondTrust发现

身份管理公司BeyondTrust表示,他们是受影响的客户之一,并对事件提供了更多见解。

2023年10月2日,BeyondTrust的安全团队检测到有人试图使用从Okta支持系统窃取的Cookie登录内部Okta管理员帐户,并及时阻止了这一企图。

BeyondTrust随后联系Okta,提供了显示其支持组织遭到入侵的取证数据。然而,Okta花了两个多星期才确认入侵。

BeyondTrust表示:“我们于2023年10月2日向Okta提出了关于入侵的担忧。由于Okta始终没有确认发生入侵,我们一直向Okta内部更高层级反映情况。直到2023年10月19日,Okta安全领导层才通知我们确实发生了入侵,我们也是受影响的客户。”

BeyondTrust表示,由于“Okta的安全模型存在限制”,尽管这次入侵被“自定义策略控制”阻止,但恶意行为者仍然能够执行“一些受限制的操作”。

尽管如此,该公司表示攻击者未能访问其任何系统,其客户也未受影响。

BeyondTrust还分享了以下攻击时间线:

  • 2023年10月2日 - 检测并消除对内部Okta管理员帐户的身份中心攻击,并通知Okta。

  • 2023年10月3日 – 由于初始取证数据说明Okta支持组织遭到入侵,请求Okta支持团队向更高层级的Okta安全团队反映情况。

  • 2023年10月11日、13日 - 与Okta安全团队进行Zoom会话,解释为什么认为他们可能受到入侵。

  • 2023年10月19日 - Okta安全领导确认他们发生了内部入侵,BeyondTrust是受影响的客户之一。

Cloudflare也受影响

2023年10月18日,Cloudflare也在服务器上发现了与Okta入侵有关的恶意活动。

Cloudflare表示:“尽管这起安全事件令人担忧,但是我们的安全事件响应团队(SIRT)进行实时检测、迅速响应,控制了事件范围,并尽量削弱了Cloudflare系统和数据受到的影响。”

“我们已经核实,此事件没有影响到Cloudflare的任何客户信息或系统。”

攻击者从Okta支持系统窃取身份验证令牌,利用令牌进行具有管理权限的开放会话,进入Cloudflare的Okta实例。

Cloudflare主动联系了Okta。24小时后,Cloudflare才收到通知,确认Okta系统遭到入侵。

Cloudflare表示:“拿我们的案例来说,威胁行为者似乎能够从Cloudflare员工创建的支持工单中劫持会话令牌。2023年10月18日,威胁行为者使用从Okta提取的令牌,访问了Cloudflare系统。”

“这次攻击十分复杂。我们观察到威胁行为者入侵了Okta平台内两个独立的Cloudflare员工帐户。”

两年内发生数起安全事件

Okta去年披露,Lapsus$数据勒索团体在2022年1月获得该公司管理控制台的访问权限,此后曝光了一些客户的数据。

2022年8月,Scatter Swine黑客组织窃取了Okta通过短信给客户发送一次性密码(OTP),该组织后续进一步入侵了云通信公司Twilio。

2022年9月,Okta旗下身份验证服务提供商Auth0披露,黑客采用未知方法从其环境中窃取了一些较早的源代码存储库。

2022年12月,Okta的私有GitHub存储库被黑客入侵。此后,公司披露了这起源代码失窃事件。

参考资料:https://www.bleepingcomputer.com/news/security/okta-says-its-support-system-was-breached-using-stolen-credentials/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。