Çok faktörlü kimlik doğrulama, sıfır güven ağ erişimi, SSO ve kimlik sağlayıcı hizmetleri gibi kuruluşların İnternet trafiğini dahili ağdan yalıtmak için kullandığı araçların çoğu, tanımlama bilgisi hırsızlığı, yeniden kullanım ve oturum ele geçirme saldırılarına karşı çok az koruma sağlar.
İsrailli startup Mesh Security’den araştırmacılar bu hafta, saldırganların aslında tüm bu teknolojileri ve hizmetleri nispeten kolay bir şekilde atlatmanın bir yolunu bulduklarını, çünkü genellikle uygun çerez oturum doğrulama mekanizmalarından yoksun olduklarını söyledi.
Araştırmacılar yakın zamanda Okta, Slack, Pazartesi, GitHub ve diğer düzinelerce şirketin teknolojilerini incelediler ve hesapları ele geçirmek, meşru kullanıcıları taklit etmek ve güvenliği ihlal edilmiş ortamlarda yanal olarak hareket etmek için çalıntı oturum tanımlama bilgilerini kullanan saldırganlara karşı ne tür bir koruma sunduklarını gördüler.
Analiz, kimliği doğrulanmış bir kullanıcının çerezlerini çalmayı ve oturumlarını ele geçirmeyi başaran bir tehdit aktörünün, bu satıcılar tarafından sunulan tüm MFA kontrol noktalarını ve diğer erişim kontrollerini atlayabileceğini gösterdi. MFA ve ZTNA yaklaşımlarını kullanan ortamlarda bile, çalınan oturum tanımlama bilgilerine sahip bir saldırganın ayrıcalıklı hesaplara, SaaS uygulamalarına ve hassas verilere ve iş yüklerine erişebileceğini buldu.
Örneğin, Okta ile Mesh güvenlik araştırmacıları, bir saldırganın Okta hesabına giriş yapan bir kullanıcının oturum çerezlerini çalabilmesi durumunda, bunu aynı hesaba farklı bir tarayıcı ve konumdan giriş yapmak için kullanabileceğini keşfetti. Mesh, saldırganın, kullanıcının Okta hesabı üzerinden erişme yetkisine sahip olduğu tüm kaynaklara erişebileceğini tespit etti. Mesh bulgularını özetleyen bir raporda, “Şaşırtıcı bir şekilde, bu girişimlerin engellenmesi beklense de, teknik, saldırganın aktif MFA mekanizmalarını atlamasına izin veriyor, çünkü oturum zaten doğrulandı.” Dedi.
Doğrudan Sorumlu Değil misiniz?
Okta, bu tür saldırıları doğrudan sorumlu olmadığı bir sorun olarak nitelendirdi. Okta, “Bir web uygulaması olarak Okta, kötü amaçlı tarayıcı eklentileri veya çerez çalma gibi uç nokta saldırılarına karşı koruma sağlamak için tarayıcının ve işletim sistemi ortamının güvenliğine güveniyor” dedi. Mesh Security’nin kurucu ortağı ve CEO’su Netanel Azoulay, Mesh’in sorunla ilgili olarak temasa geçtiği diğer satıcıların çoğunun çerez hırsızlığı, yeniden kullanım ve oturum ele geçirme saldırılarından benzer şekilde kendilerini uzak tuttuklarını söylüyor.
Azoulay, “Bu sorunun, IdP ve ZTNA çözümleri de dahil olmak üzere, listemizdeki satıcıların tüm sorumluluğunda olduğuna inanıyoruz,” diye ısrar ediyor. “‘Açıkça doğrula’ ilkesini yoğun bir şekilde destekleyen her satıcı, bunu kendi sistemine yerleştirmelidir. Sıfır Güven’in tüm fikri, her bir dijital etkileşimi her zaman açıkça doğrulamak ve asla güvenmemektir.”
Çerez hırsızlığı ve oturum ele geçirme, iyi bilinen sorunlardır ve APT29 gibi gelişmiş kalıcı tehdit aktörleri de dahil olmak üzere birçok tehdit aktörünün kampanyalarında rutin olarak kullandığı bir saldırı vektörüdür. Oturum tanımlama bilgilerini çalmak için yaygın taktikler arasında kimlik avı kampanyaları, tarama tuzakları ve aşağıdakiler gibi kötü amaçlı yazılımlar bulunur. CookieMiner, Evilnum ve QakBot.
Saldırganlar, kimliği doğrulanmış bir kullanıcı olarak Web uygulamalarına ve hizmetlerine erişmek için genellikle çalıntı oturum tanımlama bilgilerini kullanır ve oturumlar zaman aşımına uğrayana kadar erişime sahiptir – bu, birkaç saat veya birkaç gün içinde gerçekleşebilir.
Büyüyen Bir Endişe
Azoulay, kuruluşların giderek daha fazla çevre merkezli bir güvenlik yaklaşımından daha kimlik odaklı bir modele geçmeleri nedeniyle sorunun önemli olduğunu söylüyor. Okta ve diğer ZTNA satıcıları gibi kuruluşlar, özelleştirilmiş tarayıcı tabanlı portallar aracılığıyla SaaS uygulamaları, IaaS iş yükleri ve veriler dahil olmak üzere çalışanları ve kaynakları birbirine bağlayan merkezler haline geldi. Bu sistemler bugünlerde işletmelerin çekirdek ağı olarak hizmet ediyor ve saldırganlar için bire çok erişim mekanizması sağlıyor, diyor.
Azoulay, “Kuruluşlar, IdP, SSO, MFA ve ZTNA gibi güvenlik çözümlerini uygulayarak İnternet trafiğini iç ağlarından izole etmek için büyük bütçeler ve çabalar harcıyor” diyor.
“Bir tehdit aktörü, tüm bu pahalı mekanizmayı potansiyel olarak atlayabilir ve bir düğmeyi tıklatarak bir kuruluşun taç mücevherlerine ulaşmak için kontrol önlemlerini alabilir” diyor. “Mevcut azaltma teknikleri bunu ele almak için tasarlanmamıştır.”
Okta, Mesh’in analizine yanıt olarak, yöneticilerin bir kullanıcının oturumlarını kullanıcı arayüzünde veya API’si aracılığıyla temizlemesini önerdi. Şirket ayrıca, oturum zaman aşımının yapılandırılabilir olduğunu da kaydetti – 1 dakikadan 90 güne kadar. Şirket, bir oturumun süresi dolduğunda, kopyalanan oturumların da sona ereceğini belirtti. Okta ayrıca, kuruluşların çalınan oturum çerezlerinden kaynaklanan riski en aza indirmek için atabilecekleri adımların altını çizdi. Örneğin, aşağı akış uygulamaları için Okta yöneticileri, MFA dahil olmak üzere ek oturum açma ilkeleri gerektirebilir. Okta, benzer şekilde, bir oturumu kayıtlı veya yönetilen bir cihaza bağlamanın, başka cihazlardan sahte bir oturum kurulması riskini en aza indireceğini söyledi.