Okta, một nhà cung cấp xác thực hàng đầu, gần đây đã trải qua một sự cố về an ninh trong hệ thống hỗ trợ của mình. Sự cố này, xảy ra vào đầu tháng Mười, được khởi xướng bởi những kẻ tấn công đã cướp được cookie phiên từ hệ thống hỗ trợ Okta, từ đó có quyền truy cập vào tài khoản quản trị viên. Điều này, theo lượt, có khả năng làm lộ các tệp của khách hàng liên quan đến các trường hợp hỗ trợ.
BeyondTrust, một nhà cung cấp dịch vụ an ninh mạng cho Okta, lưu ý rằng sự cố xảy ra vào ngày 2 tháng Mười. Trong khi các tệp của BeyondTrust vẫn không bị ảnh hưởng, có khả năng rằng kẻ tấn công đã truy cập vào các tệp nhạy cảm do các khách hàng Okta khác tải lên. Kẻ tấn công đã cướp cookie phiên từ một quản trị viên của Okta, điều mà BeyondTrust phát hiện và phản ứng trong vòng 30 phút. Tuy nhiên, xác nhận chính thức từ Okta chỉ được đưa ra vào ngày 19 tháng Mười.
Hoạt động của kẻ tấn công đã bị giới hạn bởi cấu hình chính sách tùy chỉnh của BeyondTrust cho việc truy cập bảng điều khiển quản trị. Mặc dù vậy, kẻ tấn công đã chuyển hướng sang sử dụng các hoạt động API của quản trị, được xác thực bằng cookie phiên đã đánh cắp, và cố gắng tạo một tài khoản người dùng backdoor. May mắn, BeyondTrust đã xác định và vô hiệu hóa tài khoản này trước khi thêm bất kỳ tổn thất nào có thể xảy ra.
Nguồn gốc của sự cố được xác định trở về một tệp HAR đã được tải lên môi trường của BeyondTrust, có lẽ trong quá trình xử lý sự cố hợp pháp của một vé hỗ trợ của khách hàng Okta khác. Tệp này chứa cookie phiên được sử dụng bởi kẻ tấn công. Phương pháp chính xác để lấy cookie này vẫn còn mơ hồ.
Những thách thức an ninh gần đây của Okta, bao gồm các cuộc tấn công “0ktapus” và các nỗ lực kỹ thuật xã hội khác nhau, đã gây ra lo ngại về các biện pháp an ninh của công ty. Trong khi môi trường quản lý trường hợp hỗ trợ của Okta đã bị xâm phạm, công ty khẳng định rằng hệ thống quản lý trường hợp Auth0/CIC và dịch vụ sản xuất của mình vẫn không bị ảnh hưởng. Các khách hàng bị ảnh hưởng đã được thông báo.
Cloudflare, một công ty khác, đã báo cáo về hoạt động đáng ngờ liên kết với hỗ trợ Okta vào ngày 18 tháng Mười, chỉ ra hai tài khoản nhân viên bị xâm phạm. BeyondTrust lưu ý rằng tài khoản quản trị viên độc hại của Okta xuất phát từ một địa chỉ IP của Malaysia, liên kết với một dịch vụ proxy đã biết.
Rahul Pawar, Phó Chủ tịch Toàn cầu tại Commvault, nhấn mạnh tầm quan trọng của việc quản lý mật khẩu mạnh mẽ và xác thực đa yếu tố (MFA). Ông khuyến nghị các tổ chức sử dụng Okta thực hiện mật khẩu mạnh, MFA, theo dõi nhật ký cho các bất thường và áp dụng mô hình bảo mật không tin tưởng. Pawar cũng đề xuất xoay vòng tất cả các thông tin xác thực của Okta và tiến hành đào tạo nhận thức về an ninh cho nhân viên.
Source: Cpomagazine
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.