Η 1Password, η δημοφιλής πλατφόρμα διαχείρισης κωδικών πρόσβασης, υπέστη ένα περιστατικό ασφαλείας, όταν hackers απέκτησαν πρόσβαση στο Okta ID management tenant της.
“Εντοπίσαμε ύποπτη δραστηριότητα στο Okta instance μας που σχετίζεται με το περιστατικό του Support System τους. Μετά από ενδελεχή έρευνα, καταλήξαμε στο συμπέρασμα ότι δεν έγινε πρόσβαση σε δεδομένα χρηστών της 1Password“, αναφέρει ο CTO της 1Password, Pedro Canahuati.
“Στις 29 Σεπτεμβρίου, εντοπίσαμε ύποπτη δραστηριότητα στο Okta instance που χρησιμοποιούμε για τη διαχείριση των employee-facing apps μας”.
Ο CTO είπε ότι αφού εντοπίστηκε η ύποπτη δραστηριότητα, τερματίστηκε αμέσως και ξεκίνησε έρευνα η οποία δεν έδειξε παραβίαση των δεδομένων των χρηστών / υπαλλήλων ή άλλων ευαίσθητων συστημάτων.
Δείτε επίσης: Πόλη της Φιλαδέλφεια: Αποκάλυψε παραβίαση δεδομένων μετά από 5 μήνες
Την Παρασκευή, η Okta αποκάλυψε ότι εγκληματίες του κυβερνοχώρου παραβίασαν το support case management σύστημά της χρησιμοποιώντας κλεμμένα credentials.
Ως μέρος αυτών των υποθέσεων υποστήριξης, η Okta ζητά από τους πελάτες να ανεβάσουν αρχεία HTTP Archive (HAR) για την αντιμετώπιση των προβλημάτων. Ωστόσο, αυτά τα αρχεία HAR περιέχουν και κάποια ευαίσθητα δεδομένα, συμπεριλαμβανομένων των authentication cookies και των session tokens. Αυτά θα μπορούσαν να χρησιμοποιηθούν για την πλαστοπροσωπία ενός έγκυρου πελάτη της Okta.
Η Okta έμαθε για την παραβίαση από την BeyondTrust. Ωστόσο, η εταιρεία χρειάστηκε πάνω από δύο εβδομάδες για να επιβεβαιώσει την παραβίαση.
Η Cloudflare εντόπισε, επίσης, κακόβουλη δραστηριότητα στα συστήματά της στις 18 Οκτωβρίου, δύο ημέρες πριν η Okta αποκαλύψει το περιστατικό. Οι δράστες χρησιμοποίησαν ένα authentication token που κλάπηκε από το σύστημα υποστήριξης της Okta για να διεισδύσουν στο Okta instance της Cloudflare και να αποκτήσουν δικαιώματα διαχειριστή.
Η παραβίαση της 1Password συνδέεται με την παραβίαση της Okta
Σύμφωνα με την 1Password, οι επιτιθέμενοι παραβίασαν τον Okta tenant της χρησιμοποιώντας ένα κλεμμένο session cookie για έναν IT υπάλληλο.
“Επιβεβαιώνοντας με την υποστήριξη της Okta, διαπιστώθηκε ότι αυτό το περιστατικό έχει ομοιότητες με μια γνωστή καμπάνια όπου οι παράγοντες απειλών παραβιάζουν super admin accounts και στη συνέχεια προσπαθούν να επηρεάσουν authentication flows και να δημιουργήσουν έναν δευτερεύοντα πάροχο ταυτότητας για να πλαστοπροσωπήσουν τους χρήστες εντός του επηρεαζόμενου οργανισμού“, αναφέρει η 1Password.
Δείτε επίσης: Δεδομένα χιλιάδων οδηγών είναι εκτεθειμένα σε χάκερς
Σύμφωνα με την αναφορά, ένα μέλος της ομάδας IT της 1Password άνοιξε ένα support case με την Okta και παρείχε ένα αρχείο HAR που δημιουργήθηκε από το Chrome Dev Tools. Αυτό το αρχείο HAR περιέχει το ίδιο Okta authentication session που χρησιμοποιήθηκε για την απόκτηση μη εξουσιοδοτημένης πρόσβασης στη διαχειριστική πύλη Okta.
Χρησιμοποιώντας αυτήν την πρόσβαση, ο επιτιθέμενος επιχείρησε να εκτελέσει τις ακόλουθες ενέργειες:
- Προσπάθησε να αποκτήσει πρόσβαση στον πίνακα ελέγχου χρήστη του μέλους της ομάδας IT (αλλά αποκλείστηκε από την Okta).
- Ενημέρωσε ένα υπάρχον IDP (Okta Identity Provider) που συνδέεται με το περιβάλλον παραγωγής της Google.
- Ενεργοποίησε το IDP
- Ζήτησε μια αναφορά των administrative users
Η ομάδα IT της 1Password έμαθε για αυτήν την παραβίαση στα τέλη Σεπτεμβρίου και συγκεκριμένα στις 29, αφού έλαβε ένα ύποπτο email που ζητούσε το administrative report.
Σύμφωνα με τον Canahuati, η εταιρεία έκτοτε συνεργάζεται με την Okta για να καθοριστεί ο αρχικός φορέας παραβίασης.
“Από την Παρασκευή, 20 Οκτωβρίου, επιβεβαιώσαμε ότι αυτό ήταν αποτέλεσμα παραβίασης του Συστήματος Υποστήριξης της Okta“, δήλωσε ο Canahuati.
Ωστόσο, δεν έχει ξεκαθαριστεί ο τρόπος παραβίασης της 1Password. Η Okta ισχυρίζεται ότι τα αρχεία καταγραφής της δεν δείχνουν ότι έγινε πρόσβαση στο αρχείο HAR του υπαλλήλου IT, παρά μόνο μετά το περιστατικό ασφαλείας του 1Password.
Δείτε επίσης: American Family Insurance: Οι πρόσφατες διακοπές οφείλονται σε κυβερνοεπίθεση
Η 1Password δηλώνει ότι έχει κάνει rotation όλα τα credentials του IT υπαλλήλου και έχει τροποποιήσει το Okta configuration της, για περισσότερη ασφάλεια.
Παραβίαση Okta
Στο πλαίσιο της ανάλυσης της παραβίασης της Okta, είναι κρίσιμη η κατανόηση της μεθοδολογίας που ακολούθησαν οι επίδοξοι εισβολείς. Η παραβίαση έγινε μέσω κλεμμένων credentials.
Το γεγονός αυτό δεν αποτελεί έκπληξη για τους παρατηρητές της βιομηχανίας. Οι διαρροές credentials αποδεικνύονται εξαιρετικά επικερδείς για τους εγκληματίες του κυβερνοχώρου, καθώς παρέχουν τη δυνατότητα αξιοποίησης λογαριασμών χρηστών ή διαχειριστών.
- Η κλοπή των credentials επέτρεψε στους εισβολείς να παρακάμψουν τα συστήματα ασφαλείας της Okta και να διεισδύσουν στο support case management σύστημα.
- Ακολουθώντας αυτήν τη διαδικασία, αποκόμισαν πρόσβαση σε ευαίσθητες πληροφορίες πελατών.
“Η έκθεση σε τέτοιου είδους επιθέσεις όπου γίνεται κατάχρηση των credentials, καταδεικνύει την ανάγκη για πολυεπίπεδες στρατηγικές ασφάλειας, που συμπεριλαμβάνουν μηχανισμούς όπως ο υποχρεωτικός έλεγχος δύο παραγόντων“, λέει ειδικός.
Ως εκ τούτου, οργανισμοί όπως η Okta, πρέπει να λαμβάνουν σοβαρά υπόψη τον κίνδυνο της παραβίασης και να εφαρμόζουν ανάλογα σχέδια αντίδρασης για να προστατεύσουν τους πελάτες τους.
Πηγή: www.bleepingcomputer.com
