El proveedor de servicios de identidad Okta reveló el viernes un nuevo incidente de seguridad que permitió a actores de amenazas no identificados aprovechar credenciales robadas para acceder a su sistema de gestión de casos de soporte.
«El actor de amenazas pudo ver archivos cargados por ciertos clientes de Okta como parte de casos de soporte recientes», dijo David Bradbury, director de seguridad de Okta, dicho. «Cabe señalar que el sistema de gestión de casos de soporte de Okta está separado del servicio de producción de Okta, que está en pleno funcionamiento y no se ha visto afectado».
La compañía también enfatizó que su sistema de gestión de casos Auth0/CIC no se vio afectado por la infracción y señaló que notificó directamente a los clientes que se vieron afectados.
Sin embargo, dijo que el sistema de atención al cliente también se utiliza para cargar Archivos de archivo HTTP (HAR) para replicar errores del usuario final o del administrador con el fin de solucionar problemas.
«Los archivos HAR también pueden contener datos confidenciales, incluidas cookies y tokens de sesión, que los actores maliciosos pueden utilizar para hacerse pasar por usuarios válidos», advirtió Okta.
Dijo además que trabajó con los clientes afectados para garantizar que los tokens de sesión integrados fueran revocados para evitar su abuso.
Okta no reveló la magnitud del ataque, cuándo ocurrió el incidente y cuándo detectó el acceso no autorizado. A partir de marzo 2023tiene más de 17.000 clientes y gestiona alrededor de 50 mil millones de usuarios.
Dicho esto, BeyondTrust y Cloudflare se encuentran entre los dos clientes que confirmaron que fueron el objetivo del último ataque al sistema de soporte.
«El actor de amenazas pudo secuestrar un token de sesión de un ticket de soporte creado por un empleado de Cloudflare», Cloudflare dicho. «Utilizando el token extraído de Okta, el actor de amenazas accedió a los sistemas de Cloudflare el 18 de octubre».
La empresa de seguridad e infraestructura web lo describió como un ataque sofisticado y dijo que el actor de amenazas detrás de la actividad comprometió dos cuentas separadas de empleados de Cloudflare dentro de la plataforma Okta. También dijo que no se accedió a la información ni a los sistemas del cliente como resultado del evento.
BeyondTrust dijo que notificó a Okta sobre la violación el 2 de octubre de 2023, pero el ataque a Cloudflare sugiere que el adversario tuvo acceso a sus sistemas de soporte al menos hasta el 18 de octubre de 2023.
La empresa de servicios de gestión de identidad. dicho su administrador de Okta había subido un archivo HAR al sistema el 2 de octubre para resolver un problema de soporte y detectó actividad sospechosa relacionada con la cookie de sesión dentro de los 30 minutos posteriores a compartir el archivo. Los intentos de ataque contra BeyondTrust finalmente no tuvieron éxito.
«BeyondTrust detectó y solucionó inmediatamente el ataque a través de sus propias herramientas de identidad, Identity Security Insights, lo que no produjo impacto ni exposición a la infraestructura de BeyondTrust ni a sus clientes», dijo un portavoz de la compañía a The Hacker News.
El desarrollo es el último de una larga lista de contratiempos de seguridad que han afectado a Okta en los últimos años. La empresa se ha convertido en un objetivo de gran valor para los grupos de hackers por el hecho de que sus servicios de inicio de sesión único (SSO) son utilizados por algunas de las empresas más grandes en el mundo.