本文來自微信公眾號“GoUpSec”。
本周一,身份軟件巨頭Okta的客戶支持系統(tǒng)被黑客使用被盜憑證入侵,導致Okta客戶上傳的Cookie和會話令牌等敏感數據泄露,被攻擊者利用入侵客戶網絡。該事件影響了大約1%的Okta客戶群,已經披露的知名客戶包括BeyondTrust和Cloudflare,以及流行的密碼管理方案1Password。
1Password是擁有超過10萬家企業(yè)用戶的流行密碼管理平臺,本周一1Password披露,在Okta客戶支持系統(tǒng)遭到入侵后,它于9月29日在其Okta實例上檢測到可疑活動,但1Password重申沒有用戶和員工數據被訪問。
1Password表示:“我們看到的活動表明,他們進行了初步偵察,目的是不被發(fā)現,以便收集信息以進行更復雜的攻擊。”
1Password首席技術官Pedro Canahuati在周一的通知中表示:“我們立即終止了該攻擊活動,進行了調查,發(fā)現用戶數據或其他敏感系統(tǒng)(無論是面向員工還是面向用戶)都沒有受到損害。”
Okta經常要求客戶上傳HTTP存檔(HAR)文件以解決客戶問題。但是,這些HAR文件包含敏感數據,包括可用于冒充有效Okta客戶的身份驗證cookie和會話令牌。
據稱,入侵Okta客戶支持系統(tǒng)的攻擊者成功竊取了1Password的IT團隊成員與Okta支持人員共享HAR文件后泄露的會話cookie,并執(zhí)行了以下一組操作:
●嘗試訪問IT團隊成員的用戶儀表板(但被Okta阻止)
●更新了與1Password的Google生產環(huán)境相關的現有IDP
●激活IDP
●要求提供管理員列表報告
1Password表示,在IT團隊成員收到請求管理員列表報告的電子郵件后,觸發(fā)了有關惡意活動的警報。
1Password隨后采取了一系列措施來增強安全性,包括:
●輪換所有IT員工的憑據并修改了Okta配置
●拒絕非OktaIDP登錄
●減少管理用戶的會話時間
●更嚴格的管理員多重身份驗證(MFA)規(guī)則
●減少超級管理員的數量
1Password表示:“Okta方面證實,該事件與已知活動有相似之處,攻擊者將入侵超級管理員帳戶,然后嘗試操縱身份驗證流程,添加輔助身份提供商來冒充受影響組織內的用戶。”
值得注意的是,1Password事件調查中披露的一些細節(jié)引發(fā)了人們對1Password員工安全意識和安全實踐的擔憂,例如:
●泄露令牌的HAR文件是1Password員工在公司活動后用酒店WiFi上傳的(不過并沒有證據顯示該數據在WiFi網絡泄露或截獲)
●調查人員使用免費版Malwarebytes掃描涉事員工的Mac筆記本電腦并表示沒有發(fā)現任何可疑活動或惡意軟件。
●IT團隊輪換了所有登錄憑證,并強制使用Yubikey硬件密鑰MFA登錄。(1Password管理員此前未強制使用硬件密鑰登錄)
而且,1Password安全事件的調查結果仍存在一些令人困惑的地方,例如Okta聲稱其日志顯示,1Password員工的HAR文件在其安全事件發(fā)生后才被攻擊者訪問。
這意味著1Password的員工令牌有可能在此前的安全事件中已經泄露,因為Okta此前曾警告過有攻擊者為獲取高級管理員權限而精心策劃了針對Okta的社會工程攻擊,而且過去兩年中Okta接連發(fā)生多起安全事件:
●2022年Okta披露Lapsus$數據勒索組織于同年1月獲得對其管理控制臺的訪問權限后,其部分客戶數據被泄露。
●此后Okta通過短信發(fā)送給客戶的一次性密碼(OTP)也被威脅組織ScatterSwine(又名0ktapus)利用社會工程攻擊竊取,該組織于2022年8月入侵了云通信公司Twilio。
●2022年12月,Okta在其GitHub存儲庫遭到黑客攻擊后披露了自己的源代碼被盜事件。
●今年9月,Okta旗下的身份驗證服務提供商Auth0透露,一些較舊的源代碼存儲庫被使用未知方法從其環(huán)境中竊取。
目前尚不清楚最新攻擊是否與ScatteredSpider(又名0ktapus、ScatterSwine或UNC3944)有任何聯系,后者有使用社會工程攻擊針對Okta以獲得提升權限的記錄。
最后,有安全專家指責Okta的事件緩解措施不力。例如,HAR作為結構化文檔,其數據脫敏沒有任何技術難度,但是Okta推薦的緩解措施居然是要求客戶完成清理工作再上傳。此外,該事件的檢測和響應措施也嚴重依賴BeyondTrust和Cloudflare這兩個受害客戶。