Le fournisseur de services d’identité Okta a révélé vendredi un nouvel incident de sécurité qui a permis à des acteurs malveillants non identifiés d’exploiter des informations d’identification volées pour accéder à son système de gestion des dossiers d’assistance.
« L’auteur de la menace a pu visualiser les fichiers téléchargés par certains clients d’Okta dans le cadre de récentes demandes d’assistance », a déclaré David Bradbury, responsable de la sécurité d’Okta. dit. « Il convient de noter que le système de gestion des dossiers d’assistance Okta est distinct du service de production Okta, qui est pleinement opérationnel et n’a pas été impacté. »
La société a également souligné que son système de gestion des dossiers Auth0/CIC n’a pas été affecté par la violation, notant qu’elle a directement informé les clients concernés.
Cependant, il a indiqué que le système de support client est également utilisé pour télécharger Fichiers d’archives HTTP (HAR) pour répliquer les erreurs de l’utilisateur final ou de l’administrateur à des fins de dépannage.
« Les fichiers HAR peuvent également contenir des données sensibles, notamment des cookies et des jetons de session, que des acteurs malveillants peuvent utiliser pour usurper l’identité d’utilisateurs valides », a prévenu Okta.
Il a en outre déclaré avoir travaillé avec les clients concernés pour garantir que les jetons de session intégrés étaient révoqués afin d’éviter leur abus.
Okta n’a pas divulgué l’ampleur de l’attaque, ni la date à laquelle l’incident a eu lieu, ni le moment où il a détecté l’accès non autorisé. Dès mars 2023elle compte plus de 17 000 clients et gère environ 50 milliards d’utilisateurs.
Cela dit, BeyondTrust et Cloudflare font partie des deux clients qui ont confirmé avoir été ciblés par la dernière attaque du système de support.
« L’auteur de la menace a réussi à détourner un jeton de session à partir d’un ticket d’assistance créé par un employé de Cloudflare », Cloudflare dit. « En utilisant le jeton extrait d’Okta, l’acteur menaçant a accédé aux systèmes Cloudflare le 18 octobre. »
La décrivant comme une attaque sophistiquée, la société d’infrastructure Web et de sécurité a déclaré que l’auteur de la menace à l’origine de l’activité avait compromis deux comptes d’employés Cloudflare distincts au sein de la plateforme Okta. Il a également déclaré qu’aucune information ou système client n’avait été consulté à la suite de l’événement.
BeyondTrust a déclaré avoir informé Okta de la violation le 2 octobre 2023, mais l’attaque contre Cloudflare suggère que l’adversaire avait accès à ses systèmes de support au moins jusqu’au 18 octobre 2023.
Le cabinet de services en gestion d’identité dit son administrateur Okta avait téléchargé un fichier HAR sur le système le 2 octobre pour résoudre un problème de support et avait détecté une activité suspecte impliquant le cookie de session dans les 30 minutes suivant le partage du fichier. Les tentatives d’attaque contre BeyondTrust ont finalement échoué.
« BeyondTrust a immédiatement détecté et corrigé l’attaque grâce à ses propres outils d’identité, Identity Security Insights, ce qui n’a entraîné aucun impact ni exposition sur l’infrastructure de BeyondTrust ou sur ses clients », a déclaré un porte-parole de la société à The Hacker News.
Ce développement est le dernier d’une longue liste d’incidents de sécurité qui ont affecté Okta au cours des dernières années. L’entreprise est devenue une cible de grande valeur pour les équipes de piratage informatique en raison du fait que ses services d’authentification unique (SSO) sont utilisés par certaines des plus grandes entreprises dans le monde.