Araştırmacılar, kimlik hizmetleri sağlayıcısı Okta’nın, bir saldırganın platforma uzaktan erişim sağlamasına, düz metin şifreleri çıkarmasına, aşağı akış uygulamalarının kullanıcılarını taklit etmesine ve orada bulundukları kanıtları gizlemek için günlükleri değiştirmesine kolayca izin verebilecek ciddi güvenlik açıklarıyla karşı karşıya olduğunu iddia ediyor.
Ancak Okta, Authomize’dan araştırmacılara sorunların hata değil özellikler olduğunu ve uygulamanın tasarıma göre çalıştığını söyledi.
Geçen Ocak ayında tehdit grubu Lapsus$, Okta’yı “süper kullanıcı” hesap kimlik bilgileriyle ihlal ettiğini ve dahili sistemlerden ele geçirdiklerini iddia ettikleri ekran görüntülerini yayınladığını iddia etti. Olaydan 366 Okta müşterisinin etkilendiği belirlendi.
Authomize CTO’su Gal Diskin, ekibin yaptığı açıklamada, “Bu yılın başlarında Okta ihlali haberlerinin ardından, çabalarımızı, kötü niyetli bir aktörün Okta platformunda minimum düzeyde bile erişim elde ederse ne tür eylemler yapabileceğini anlamaya odakladık.” Dedi. Bu hafta güvenlik analizi.
Diskin, Okta’nın şifre senkronizasyonu mimarisinin, potansiyel kötü niyetli aktörlerin şifreli kanallar üzerinden bile yönetici kimlik bilgileri de dahil olmak üzere şifrelere düz metin olarak erişmesine izin verdiğini açıkladı. Bunu yapmak için, saldırganın sistemde bir alt uygulamanın uygulama yöneticisi olarak oturum açması gerekir (örnekler arasında müşteri hizmetleri aracıları veya finansal operasyon ekipleri yer alır) – buradan kişi, Etki Alanları Arası Kimlik Yönetimi için Sistemi yeniden yapılandırabilir ( SCIM) herhangi bir Okta kullanıcısının şifrelerini almak için.
Açık metin şifrelerini çıkarmak için gereken tek şey, bir aktörün uygulama yöneticisi ayrıcalıkları kazanmasıdır. rapor. Her büyüklükteki kuruluşta, özellikle de işletmelerde sürekli artan kullanıcı sayısı göz önüne alındığında Diskin, 2022 Verizon Veri İhlal Araştırmaları Raporu’nun ihlallerin %82’sinin insan kaynaklı olduğunu tespit etmesiyle, bir uygulama yöneticisinin güvenliğinin ihlal edilme olasılığının istatistiksel olarak oldukça yüksek olduğunu söyledi. çalıntı kimlik bilgileri ve kimlik avı gibi öğeler. Daha da önemlisi, bu uygulama yöneticileri genellikle ayrıcalıklı kimlikler olarak değerlendirilmez.
Araştırmacılar, Okta’nın tarafında, şifrelerin açık metin halinde olduğunu, çünkü karmaları senkronize etmek için standart bir güvenilir protokol bulunmadığını belirtti. Ancak Authomize, Okta’nın ürün ekibinin parola sızıntısı risklerine daha yakından bakmasını sağlama sözü verdiğini belirtti.