Okta, proveedor de soluciones de gestión de identidad y acceso, informó recientemente que "los atacantes violaron con éxito su sistema de soporte utilizando credenciales robadas y extrayendo tokens de sesión de cliente válidos de los archivos de soporte descargados". . Pero las políticas de autenticación multifactor (MFA) implementadas por uno de sus clientes pudieron detectar el acceso no autorizado, bloquearlo e informar la infracción a Okta. "Como parte de las operaciones normales, el soporte de Okta solicita a los clientes que descarguen un archivo HTTP (HAR) que ayuda a resolver problemas al replicar la actividad del navegador". explicado en una publicación de blog de David Bradbury, jefe de seguridad de Okta. "Los archivos HAR a veces contienen datos confidenciales, incluidas cookies y tokens de sesión, que los actores maliciosos pueden utilizar para hacerse pasar por usuarios válidos", añadió. El incidente fue descubierto por ingenieros de seguridad de BeyondTrust, un proveedor de soluciones de seguridad de acceso e identidad, cuya cuenta de administrador interna de Okta fue secuestrada. Los controles de políticas implementados por el equipo de seguridad de la empresa bloquearon un intento de autenticación sospechoso procedente de una dirección IP en Malasia.

Índice
  1. El atacante pidió autenticarse por MFA
  2. Credenciales robadas en el origen de la violación

El atacante pidió autenticarse por MFA

En el entorno de Okta, la política de BeyondTrust solo permitía el acceso a la consola de administración de Okta desde dispositivos administrados que tenían instalada Okta Verify, una aplicación de autenticación multifactor desarrollada por Okta. Según esta política, al atacante se le solicitó la autenticación MFA cuando intentó acceder a la consola de administración, a pesar de que el token que robó le había proporcionado una sesión válida. "Es importante que los clientes de Okta mejoren sus políticas de seguridad aprovechando ciertas configuraciones, por ejemplo, solicitando a los usuarios con privilegios administrativos que se autentiquen mediante MFA en cada inicio de sesión". dijo el equipo de seguridad de BeyondTrust en un boletín. “Incluso si el atacante ha secuestrado una sesión existente, Okta todavía considera acceder al panel como un nuevo inicio de sesión y solicita permiso para abrir una sesión MFA. Además, la cuenta de administrador de BeyondTrust se ha configurado para autenticarse utilizando un dispositivo compatible con el estándar de autenticación sin contraseña FIDO2 que utiliza criptografía de clave pública para validar a los usuarios, una opción mucho más segura que las implementaciones basadas en SMS, vulnerable a ataques basados ​​en intercambio de SIM y otros. Técnicas de intermediario. Esta precaución permitió a BeyondTrust comprender rápidamente que el robo del token de sesión no se había producido internamente y que Okta podría estar en el origen de la violación. Además, la autenticación no autorizada se produjo 30 minutos después de que el administrador de BeyondTrust cargara un archivo HAR en el sistema de soporte de Okta como parte de una solicitud de solución de problemas. Los archivos HAR son registros del navegador utilizados por el ingeniero de soporte para reproducir las acciones del usuario.

Credenciales robadas en el origen de la violación

Después de que el atacante no pudo acceder al panel de administración de Okta, decidió acceder a la cuenta a través de la API de Okta para crear una cuenta de servicio falsa llamada svc_network_backup. "Es posible utilizar cookies de sesión para autenticarse con la API oficial de Okta que, muy a menudo, no están sujetas a las restricciones de política que se aplican a la consola de administración interactiva", advirtió el equipo de seguridad de BeyondTrust. "El atacante actuó rápidamente, pero nuestras detecciones y respuestas fueron inmediatas, inhabilitando la cuenta y mitigando cualquier exposición potencial".

BeyondTrust informó sus sospechas a Okta, que luego rastreó la infracción hasta las credenciales robadas que proporcionaban acceso para ver los registros de los clientes en los tickets de soporte. El proveedor dijo que notificó a todos los clientes potencialmente afectados y revocó todos los tokens de sesión incrustados en los archivos. Aconseja a los clientes que inspeccionen las cookies y los tokens de sesión en los archivos HAR antes de descargarlos y que revisen los registros del sistema Okta para detectar sesiones sospechosas. En su aviso, la compañía proporciona una lista de direcciones IP utilizadas por los atacantes para acceder a las cuentas de los clientes, en su mayoría asociadas con servicios comerciales de VPN. Cloudflare, también afectada por este incidente, pudo detectar y bloquear el uso indebido de sus credenciales de Okta antes de que el proveedor descubriera la infracción. La empresa recomienda encarecidamente que los clientes de Okta implementen un sistema MFA basado en hardware. "Las contraseñas por sí solas no proporcionan el nivel necesario de protección contra ataques", dijo Cloudflare. en su informe. "Recomendamos encarecidamente el uso de claves de hardware, ya que otros métodos MFA pueden ser vulnerables a ataques de phishing", añadió la empresa. "Todos los cambios inesperados de contraseña y MFA en sus instancias de Okta y los eventos sospechosos iniciados por el soporte deben ser investigados y respondidos", también aconsejó Cloudflare. "Asegúrese de que todos los restablecimientos de contraseña sean válidos y fuerce un restablecimiento de contraseña a cualquier persona sospechosa y asegúrese de que la configuración de la cuenta del usuario solo contenga claves MFA válidas", agregó. recomendado por el proveedor.