Okta, un leader nella fornitura di autenticazione, ha recentemente subito una violazione di sicurezza nel suo sistema di supporto. La violazione, avvenuta all’inizio di ottobre, è stata iniziata da attaccanti che sono riusciti a rubare un cookie di sessione dal sistema di supporto di Okta, consentendo loro l’accesso a un account amministratore. Ciò ha potenzialmente esposto i file dei clienti relativi ai casi di supporto.
BeyondTrust, un fornitore di servizi di cybersecurity per Okta, ha evidenziato che la violazione ha avuto luogo il 2 ottobre. Sebbene i file di BeyondTrust siano rimasti intatti, c’è la possibilità che gli aggressori abbiano avuto accesso ai file sensibili caricati da altri clienti di Okta. Gli attaccanti hanno dirottato un cookie di sessione da un amministratore di Okta, che BeyondTrust ha rilevato e a cui ha risposto entro 30 minuti. Tuttavia, la conferma ufficiale da parte di Okta è arrivata solo il 19 ottobre.
Le attività degli attaccanti sono state limitate dalla configurazione della policy personalizzata di BeyondTrust per l’accesso alla console di amministrazione. Nonostante ciò, gli attaccanti hanno cercato di utilizzare le azioni dell’API amministrativa autenticate con il cookie di sessione rubato, cercando di creare un account utente backdoor. Fortunatamente, BeyondTrust ha identificato e disabilitato questo account prima che potessero verificarsi ulteriori danni.
L’origine della violazione risale a un file HAR caricato nell’ambiente di BeyondTrust, probabilmente durante la risoluzione legittima di un altro ticket di supporto del cliente di Okta. Questo file conteneva il cookie di sessione utilizzato dall’attaccante. Il metodo esatto di ottenimento di questo cookie rimane incerto.
Le recenti sfide di sicurezza di Okta, tra cui gli attacchi “0ktapus” e vari tentativi di ingegneria sociale, hanno sollevato preoccupazioni riguardo alle misure di sicurezza dell’azienda. Sebbene l’ambiente di gestione dei casi di supporto di Okta fosse compromesso, l’azienda assicura che il suo sistema di gestione dei casi Auth0/CIC e il servizio di produzione rimangano inalterati. I clienti interessati sono stati notificati.
Cloudflare, un’altra azienda, ha segnalato attività sospette legate al supporto di Okta il 18 ottobre, indicando due account dipendente compromessi. BeyondTrust ha notato che l’account amministratore di Okta malevolo proveniva da un indirizzo IP malese, associato a un servizio proxy noto.
Rahul Pawar, Vicepresidente Globale di Commvault, ha sottolineato l’importanza di una solida gestione delle password e dell’autenticazione a più fattori (MFA). Ha raccomandato che le organizzazioni che utilizzano Okta implementino password robuste, MFA, monitorino i log per anomalie e adottino un modello di sicurezza zero-trust. Pawar ha anche suggerito di ruotare tutte le credenziali di Okta e di condurre corsi di formazione sulla consapevolezza della sicurezza per i dipendenti.
Source: Cpomagazine
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.