Güncelleme 20 Ekim 16:15 EDT: BeyondTrust olay ayrıntılarını ekledi.
GÜNCELLEME 20 Ekim 18:59 EDT: Cloudflare olay detayları eklendi.
Okta, saldırganların, çalıntı kimlik bilgilerini kullanarak ihlal ettikten sonra müşteriler tarafından yüklenen çerez ve oturum jetonları içeren dosyalara eriştiğini söylüyor.
Okta'nın baş güvenlik görevlisi David Bradbury, "Tehdit oyuncusu, bazı Okta müşterileri tarafından yüklenen dosyaları son destek davalarının bir parçası olarak görüntüleyebildi." Dedi.
Diyerek şöyle devam etti: "OKTA destek vaka yönetim sisteminin tamamen operasyonel olan ve etkilenmeyen Üretim OKTA hizmetinden ayrı olduğuna dikkat edilmelidir."
OKTA'nın STK'sı, bu olayın Auth0/CIC vaka yönetim sistemini etkilemediğini de sözlerine ekledi. OKTA, OKTA ortamı veya destek biletleri olaydan etkilenen tüm müşterileri bilgilendirdi. Uyarı almayanlar etkilenmez.
Şirket, ihlalde hangi müşteri bilgilerinin ortaya çıktığı veya erişildiği hakkında henüz ayrıntılar vermemiş olsa da, bu saldırıda ihlal edilen destek vaka yönetimi sistemi, kullanıcı veya yönetici hatalarını çeşitli sorunları gidermek için çoğaltmak için kullanılan HTTP arşivi (HAR) dosyalarını depolamak için de kullanıldı. Kullanıcılar tarafından bildirilen sorunlar.
Ayrıca, tehdit aktörlerinin müşteri hesaplarını ele geçirmek için kullanabileceği çerezler ve oturum belirteçleri gibi hassas veriler de içerir.
"HAR dosyaları tarayıcı etkinliğinin bir kaydını temsil eder ve muhtemelen ziyaret edilen sayfaların içeriği, başlıklar, çerezler ve diğer veriler de dahil olmak üzere hassas veriler içerir."
"Bu, OKTA personelinin tarayıcı etkinliğini çoğaltmasına ve sorunları gidermesine izin verirken, kötü amaçlı aktörler bu dosyaları sizi taklit etmek için kullanabilir."
Şirket, olay soruşturması sırasında etkilenen müşterilerle çalıştı ve paylaşılan HAR dosyalarına gömülü iptal edilen oturum jetonları. Artık tüm müşterilere, kimlik bilgileri ve çerez/oturum jetonları içermediklerinden emin olmak için paylaşmadan önce HAR dosyalarını sterilize etmelerini tavsiye ediyor.
Okta ayrıca, IP adresleri ve saldırganlarla bağlantılı Web tarayıcısı kullanıcı ajanı bilgileri de dahil olmak üzere, soruşturma sırasında gözlemlenen uzlaşma göstergelerinin bir listesini paylaştı.
Bir OKTA sözcüsü, ihlal tarihi ve BleepingComputer bugün daha önce ulaştığında kaç müşterinin etkilendiğine ilişkin sorulara yanıt vermedi.
Bunun yerine, sözcü destek sisteminin "tamamen operasyonel olan ve etkilenmeyen üretim OKTA hizmetinden ayrı olduğunu söyledi. Etkilenmiş müşterileri bilgilendirdik ve tüm müşterilerimizi korumak için önlemler aldık."
Kimlik Yönetimi BeyondTrust, bunun etkilenen müşterilerden biri olduğunu ve olay hakkında ek fikir verdiğini söylüyor.
BeyondTrust'un güvenlik ekibi, Okta'nın destek sisteminden çalınan bir çerezi kullanarak 2 Ekim'de bir şirket içi OKTA Yönetici hesabına giriş yapma girişimini tespit etti ve engelledi.
BeyondTrust, OKTA ile temasa geçti ve destek organizasyonlarının tehlikeye atıldığını gösteren adli tıp verileri sağlarken, ihlali doğrulamak iki hafta boyunca Okta sürdü.
"2 Ekim'de OKTA'ya ihlal konusundaki ihlallerle ilgili endişelerimizi gündeme getirdik. OKTA'dan olası bir ihlalin onaylanmasından sonra, Okta Güvenlik Liderliği'nin bize gerçekten bir ihlal yaşadıklarını ve olduğumuzu bildirdiği 19 Ekim'de Okta'daki artışlarla devam ettik. Etkilenen müşterilerinden biri, "dedi BeyondTrust.
BeyondTrust, saldırının "özel politika kontrolleri" tarafından engellendiğini, ancak "Okta'nın güvenlik modelindeki sınırlamalar" nedeniyle, kötü niyetli aktör "birkaç sınırlı eylemi" gerçekleştirebildiğini söyledi.
Buna rağmen şirket, saldırganın sistemlerinin hiçbirine erişmediğini ve müşterilerinin etkilenmediğini söylüyor.
BeyondTrust ayrıca aşağıdaki saldırı zaman çizelgesini de paylaştı:
2 Ekim 2023-Bir şirket içi OKTA Yönetici hesabına kimlik merkezli saldırı tespit etti ve iyileştirdi ve 3 Ekim 2023'ü uyardı-OKTA desteğini OKTA Destek Organizasyonu 11, 2023 içindeki bir uzlaşmaya işaret eden ilk adli tıp verildiğinde OKTA güvenlik ekibine yükseltmesini istedi. Ve 13 Ekim 2023 - 19 Ekim 2023'ü tehlikeye atılabileceğine inandığımızı açıklamak için OKTA Güvenlik Ekibi ile zoom oturumları düzenledi - Okta Güvenlik Liderliği dahili bir ihlal yaşadıklarını doğruladı ve BeyondRrust etkilenen müşterilerinden biri.
Cloudflare ayrıca 18 Ekim 2023 Çarşamba günü Okta'nın sunucularındaki ihlaline bağlı kötü niyetli etkinlikler keşfetti.
Şirket, "Bu rahatsız edici bir güvenlik olayı olsa da, Güvenlik Olayı Müdahale Ekibimizin (SIRT) gerçek zamanlı tespiti ve hızlı yanıtı, sınırlama sağladı ve Cloudflare sistemleri ve verilerdeki etkiyi en aza indirdi." Dedi.
Diyerek şöyle devam etti: "Bu olaydan hiçbir CloudFlare Müşteri Bilgisi veya Sisteminin etkilenmediğini doğruladık."
Saldırganlar, OKTA'nın destek sisteminden, idari ayrıcalıklarla açık bir oturum kullanarak Cloudflare'nin Okta örneğine dönmesi için çalınan bir kimlik doğrulama jetonu kullandı.
Cloudflare, OKTA'nın sistemlerini etkileyen ihlalden 24 saat önce olayla ilgili olarak Okta ile temasa geçti.
Diyerek şöyle devam etti: "Bizim durumumuzda, tehdit-aktör bir Cloudflare çalışanı tarafından oluşturulan bir destek biletinden bir oturum jetonunu kaçırabildi. OKTA'dan çıkarılan jeton kullanarak, 18 Ekim'de tehdit aktörüne erişilen Cloudflare Systems," Cloudflare dedi.
"Bu sofistike saldırıda, tehdit aktörlerinin OKTA platformunda iki ayrı Cloudflare çalışan hesabını tehlikeye attığını gözlemledik."
Geçen yıl OKTA, Lapsus $ Data Formroort grubunun Ocak 2022'de idari konsollarına erişim kazandıktan sonra bazı müşterilerinin verilerinin maruz kaldığını açıkladı.
OKTA müşterilerine SMS üzerinden teslim edilen bir kerelik şifreler (OTP'ler), Ağustos 2022'de bulut iletişim şirketi Twilio'yu ihlal eden Dağılım Domuz Tehdit Grubu (AKA 0KTAPUS) tarafından çalındı.
OKTA'ya ait kimlik doğrulama hizmet sağlayıcısı Auth0, Eylül ayında, bazı eski kaynak kodu depolarının bilinmeyen bir yöntem kullanılarak çevresinden çalındığını açıkladı.
Okta, şirketin özel Github depolarının saldırıya uğradığı Aralık ayında kendi kaynak kodu hırsızlığı olayını açıkladı.
Casio, 149 ülkedeki müşterileri etkileyen veri ihlalini açıklar
Golf Gear Dev Callaway Veri İhlali 1.1 milyon bilgileri ortaya çıkarır
Kaynak Graph Web Sitesi Sızan Yönetici Erişim Jetonu Kullanarak İhlal Edildi
LeaseWeb, güvenlik ihlalinden sonra "kritik" sistemleri geri yükliyor
Discord, Mart veri ihlalinden etkilenen kullanıcıları bilgilendirmeye başlar
Kaynak: Bleeping Computer