Kimlik ve erişim yönetimi merkezi Okta’nın platformunda, tehdit aktörlerine kullanıcı oturum açma kimlik bilgilerine ve nihayetinde kullandıkları herhangi bir kaynağa veya uygulamaya erişim sağlayabilecek önemli bir güvenlik açığı tespit edildiği bildirildi.
Mitiga’dan siber güvenlik araştırmacıları, bazı durumlarda Okta’nın kullanıcı şifrelerini sunduğunu tespit etti. (yeni sekmede açılır) denetim günlüklerinde, düz metin olarak saklanır. Bu nedenle, yetkisiz bir üçüncü taraf bu günlüklere erişim elde ederse, krallığın anahtarları onlara verilecek. Araştırmacılar bunu bir sömürü sonrası saldırı yöntemi olarak tanımladılar.
Araştırmacılar, her oturum açma girişiminin günlüğe kaydedildiğini açıklıyor. Bazen, insanlar yanlışlıkla şifrelerini kullanıcı adı alanına yazarlar, bu da açıkça başarısız bir oturum açma girişimiyle sonuçlanır. Ancak, her şey günlüğe kaydedildiğinden, bu da günlüğe kaydedilir ve parola düz metin olarak gösterilir.
kurtarmaya MFA
Araştırmacılar, Okta’nın diğer hassas verileri de günlüklerde tuttuğunu buldu. Kullanıcı adlarının yanı sıra IP adresleri ve oturum açma zaman damgaları da buna dahildir. Ayrıca günlükler, oturum açma girişiminin başarılı olup olmadığını ve bunun bir web tarayıcısı veya mobil uygulama aracılığıyla yapılıp yapılmadığını gösterir.
Mitiga, riski azaltmak için en iyi hareket tarzının çok faktörlü kimlik doğrulama (MFA) kurmak olduğunu söylüyor. Yöntem kusursuz olmamakla birlikte, tehdit aktörlerinin hesapları tehlikeye atmak için denetim günlüklerini kullanma şansını önemli ölçüde azaltacaktır.
Okta’ya ulaştıktan sonra şirket, Mitiga’nın bulgularını doğruladı, ancak denetim günlüklerine erişimi olanların yalnızca yöneticilerin olduğunu ve bunların varsayılan olarak güvenilir kişiler olması gerektiğini söyleyerek önemini küçümsedi.
Şirket, “Okta, bildirilen sorunu inceledi ve kullanıcıların yanlışlıkla kullanıcı adı alanına şifrelerini girmelerinin beklenen bir davranış olduğunu doğruladı” dedi. “Okta, başarısız oturum açma girişimlerini günlüğe kaydeder ve hatalı kullanıcı adını günlüklere dahil eder. Bu günlüklere yalnızca Okta’daki en ayrıcalıklı kullanıcılar olan ve kötü niyetli faaliyetlerde bulunmadığına güvenilmesi gereken Okta yöneticileri erişebilir.”
“Ayrıca Okta, Okta platformunun güvenliğini daha da artırmak için kimlik avına dayanıklı çok faktörlü kimlik doğrulamanın uygulanmasını öneriyor. Varsayılan olarak MFA, Okta Yönetici konsoluna erişilirken uygulanır. Kötü bir oyuncu, oturum açmak için ek faktörler sağlamadan yönetici konsoluna erişemez. Benzer şekilde yöneticiler, belirli uygulamalarda oturum açarken ek MFA gerektiren bir Kimlik Doğrulama Politikası ayarlayabilir, bu da kötü bir aktörün gerçekleştirebileceği eylemleri daha da kısıtlar.”