本文来自微信公众号“GoUpSec”。
本周一,身份软件巨头Okta的客户支持系统被黑客使用被盗凭证入侵,导致Okta客户上传的Cookie和会话令牌等敏感数据泄露,被攻击者利用入侵客户网络。该事件影响了大约1%的Okta客户群,已经披露的知名客户包括BeyondTrust和Cloudflare,以及流行的密码管理方案1Password。
1Password是拥有超过10万家企业用户的流行密码管理平台,本周一1Password披露,在Okta客户支持系统遭到入侵后,它于9月29日在其Okta实例上检测到可疑活动,但1Password重申没有用户和员工数据被访问。
1Password表示:“我们看到的活动表明,他们进行了初步侦察,目的是不被发现,以便收集信息以进行更复杂的攻击。”
1Password首席技术官Pedro Canahuati在周一的通知中表示:“我们立即终止了该攻击活动,进行了调查,发现用户数据或其他敏感系统(无论是面向员工还是面向用户)都没有受到损害。”
Okta经常要求客户上传HTTP存档(HAR)文件以解决客户问题。但是,这些HAR文件包含敏感数据,包括可用于冒充有效Okta客户的身份验证cookie和会话令牌。
据称,入侵Okta客户支持系统的攻击者成功窃取了1Password的IT团队成员与Okta支持人员共享HAR文件后泄露的会话cookie,并执行了以下一组操作:
●尝试访问IT团队成员的用户仪表板(但被Okta阻止)
●更新了与1Password的Google生产环境相关的现有IDP
●激活IDP
●要求提供管理员列表报告
1Password表示,在IT团队成员收到请求管理员列表报告的电子邮件后,触发了有关恶意活动的警报。
1Password随后采取了一系列措施来增强安全性,包括:
●轮换所有IT员工的凭据并修改了Okta配置
●拒绝非OktaIDP登录
●减少管理用户的会话时间
●更严格的管理员多重身份验证(MFA)规则
●减少超级管理员的数量
1Password表示:“Okta方面证实,该事件与已知活动有相似之处,攻击者将入侵超级管理员帐户,然后尝试操纵身份验证流程,添加辅助身份提供商来冒充受影响组织内的用户。”
值得注意的是,1Password事件调查中披露的一些细节引发了人们对1Password员工安全意识和安全实践的担忧,例如:
●泄露令牌的HAR文件是1Password员工在公司活动后用酒店WiFi上传的(不过并没有证据显示该数据在WiFi网络泄露或截获)
●调查人员使用免费版Malwarebytes扫描涉事员工的Mac笔记本电脑并表示没有发现任何可疑活动或恶意软件。
●IT团队轮换了所有登录凭证,并强制使用Yubikey硬件密钥MFA登录。(1Password管理员此前未强制使用硬件密钥登录)
而且,1Password安全事件的调查结果仍存在一些令人困惑的地方,例如Okta声称其日志显示,1Password员工的HAR文件在其安全事件发生后才被攻击者访问。
这意味着1Password的员工令牌有可能在此前的安全事件中已经泄露,因为Okta此前曾警告过有攻击者为获取高级管理员权限而精心策划了针对Okta的社会工程攻击,而且过去两年中Okta接连发生多起安全事件:
●2022年Okta披露Lapsus$数据勒索组织于同年1月获得对其管理控制台的访问权限后,其部分客户数据被泄露。
●此后Okta通过短信发送给客户的一次性密码(OTP)也被威胁组织ScatterSwine(又名0ktapus)利用社会工程攻击窃取,该组织于2022年8月入侵了云通信公司Twilio。
●2022年12月,Okta在其GitHub存储库遭到黑客攻击后披露了自己的源代码被盗事件。
●今年9月,Okta旗下的身份验证服务提供商Auth0透露,一些较旧的源代码存储库被使用未知方法从其环境中窃取。
目前尚不清楚最新攻击是否与ScatteredSpider(又名0ktapus、ScatterSwine或UNC3944)有任何联系,后者有使用社会工程攻击针对Okta以获得提升权限的记录。
最后,有安全专家指责Okta的事件缓解措施不力。例如,HAR作为结构化文档,其数据脱敏没有任何技术难度,但是Okta推荐的缓解措施居然是要求客户完成清理工作再上传。此外,该事件的检测和响应措施也严重依赖BeyondTrust和Cloudflare这两个受害客户。
