Okta, un líder en autenticación, experimentó recientemente una brecha de seguridad en su sistema de soporte. La brecha, que ocurrió a principios de octubre, fue llevada a cabo por atacantes que lograron robar una cookie de sesión del sistema de soporte de Okta, otorgándoles acceso a una cuenta de administrador. Esto, a su vez, podría haber expuesto archivos de clientes relacionados con casos de soporte.
BeyondTrust, un proveedor de servicios de ciberseguridad para Okta, señaló que la brecha tuvo lugar el 2 de octubre. Aunque los archivos de BeyondTrust no fueron afectados, existe el potencial de que los atacantes accedieran a archivos sensibles subidos por otros clientes de Okta. Los atacantes se apoderaron de una cookie de sesión de un administrador de Okta, la cual BeyondTrust detectó y respondió en un plazo de 30 minutos. Sin embargo, la confirmación oficial de Okta solo llegó el 19 de octubre.
Las actividades de los atacantes estuvieron limitadas por la configuración de política personalizada de BeyondTrust para el acceso a la consola administrativa. A pesar de esto, los atacantes intentaron usar acciones de API administrativa autenticadas con la cookie de sesión robada, tratando de crear una cuenta de usuario trasera. Afortunadamente, BeyondTrust identificó y deshabilitó esta cuenta antes de que pudiera causar más daño.
El origen de la brecha se remonta a un archivo HAR cargado en el entorno de BeyondTrust, probablemente durante la solución legítima de otro ticket de soporte del cliente de Okta. Este archivo contenía la cookie de sesión utilizada por el atacante. El método exacto de cómo obtuvieron esta cookie aún no está claro.
Los recientes desafíos de seguridad de Okta, incluidos los ataques “0ktapus” y diversos intentos de ingeniería social, han generado preocupación sobre las medidas de seguridad de la empresa. Aunque el entorno de gestión de casos de soporte de Okta se vio comprometido, la compañía asegura que su sistema de gestión de casos Auth0/CIC y el servicio de producción no se vieron afectados. Se ha notificado a los clientes afectados.
Cloudflare, otra compañía, informó sobre actividad sospechosa relacionada con el soporte de Okta el 18 de octubre, señalando dos cuentas de empleados comprometidas. BeyondTrust observó que la cuenta administrativa maliciosa de Okta provenía de una dirección IP de Malasia, asociada con un servicio proxy conocido.
Rahul Pawar, Vicepresidente Global en Commvault, destacó la importancia de una gestión robusta de contraseñas y la autenticación de múltiples factores (MFA). Recomendó que las organizaciones que usan Okta implementen contraseñas fuertes, MFA, monitoreen registros en busca de anomalías y adopten un modelo de seguridad de confianza cero. Pawar también sugirió rotar todas las credenciales de Okta y realizar capacitaciones de conciencia de seguridad para los empleados.
Source: Cpomagazine
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.