Kimlik hizmetleri sağlayıcısı Okta Cuma günü, kimliği belirsiz tehdit aktörlerinin destek vaka yönetimi sistemine erişmek için çalınan kimlik bilgilerinden yararlanmasına olanak tanıyan yeni bir güvenlik olayını açıkladı.
Okta’nın güvenlik şefi David Bradbury, “Tehdit aktörü, son destek vakalarının bir parçası olarak belirli Okta müşterileri tarafından yüklenen dosyaları görüntüleyebildi” dedi. söz konusu. “Okta destek vaka yönetimi sisteminin, tamamen çalışır durumda olan ve etkilenmeyen üretim Okta hizmetinden ayrı olduğunu belirtmek gerekir.”
Şirket ayrıca Auth0/CIC vaka yönetimi sisteminin ihlalden etkilenmediğini vurgulayarak, etkilenen müşterileri doğrudan bilgilendirdiğini belirtti.
Ancak müşteri destek sisteminin yükleme için de kullanıldığı söylendi HTTP Arşivi (HAR) dosyaları sorun giderme amacıyla son kullanıcı veya yönetici hatalarını çoğaltmak.
Okta, “HAR dosyaları aynı zamanda kötü niyetli aktörlerin geçerli kullanıcıların kimliğine bürünmek için kullanabileceği çerezler ve oturum belirteçleri dahil olmak üzere hassas veriler de içerebilir” diye uyardı.
Ayrıca, kötüye kullanımı önlemek için yerleşik oturum belirteçlerinin iptal edilmesini sağlamak amacıyla etkilenen müşterilerle birlikte çalıştığını söyledi.
Okta, saldırının boyutunu, olayın ne zaman gerçekleştiğini ve yetkisiz erişimi ne zaman tespit ettiğini açıklamadı. itibariyle Mart 202317.000’den fazla müşterisi var ve yaklaşık 50 milyar kullanıcıyı yönetiyor.
Bununla birlikte BeyondTrust ve Cloudflare, en son destek sistemi saldırısında hedef alındıklarını doğrulayan iki müşteri arasında yer alıyor.
Cloudflare, “Tehdit aktörü, bir Cloudflare çalışanı tarafından oluşturulan bir destek biletinden bir oturum jetonunu ele geçirmeyi başardı.” söz konusu. “Tehdit aktörü, Okta’dan alınan tokenı kullanarak 18 Ekim’de Cloudflare sistemlerine erişti.”
Web altyapısı ve güvenlik şirketi, bunu karmaşık bir saldırı olarak nitelendirerek, etkinliğin arkasındaki tehdit aktörünün Okta platformundaki iki ayrı Cloudflare çalışan hesabını ele geçirdiğini söyledi. Ayrıca etkinlik sonucunda hiçbir müşteri bilgisine veya sistemine erişilemediği belirtildi.
BeyondTrust, ihlali Okta’ya 2 Ekim 2023’te bildirdiğini söyledi ancak Cloudflare’e yapılan saldırı, düşmanın destek sistemlerine en az 18 Ekim 2023’e kadar erişebildiğini gösteriyor.
Kimlik yönetimi hizmetleri firması söz konusu Okta yöneticisi, bir destek sorununu çözmek için 2 Ekim’de sisteme bir HAR dosyası yükledi ve dosyanın paylaşılmasından sonraki 30 dakika içinde oturum çereziyle ilgili şüpheli etkinlik tespit etti. BeyondTrust’a yönelik saldırı girişimleri sonuçta başarısız oldu.
Şirketin bir sözcüsü The Hacker News’e şunları söyledi: “BeyondTrust, kendi kimlik araçları olan Identity Security Insights aracılığıyla saldırıyı anında tespit edip düzeltti; bu da BeyondTrust’un altyapısına veya müşterilerine herhangi bir etki yaratmadı veya bu durumun açığa çıkmasına neden olmadı.”
Bu gelişme, son birkaç yıldır Okta’yı öne çıkaran uzun güvenlik aksaklıkları listesinin sonuncusu. Şirket, tek oturum açma (SSO) hizmetlerinin kullanıcılar tarafından kullanılması nedeniyle bilgisayar korsanlığı ekipleri için yüksek değerli bir hedef haline geldi. en büyük şirketlerden bazıları Dünyada.