Okta, un líder en autenticació, va experimentar recentment una violació de seguretat en el seu sistema de suport. La violació, que va ocórrer a principis d’octubre, va ser portada a terme per atacants que van aconseguir robar una galeta de sessió del sistema de suport d’Okta, donant-los accés a un compte d’administrador. Això, al seu torn, podria haver exposat fitxers de clients relacionats amb casos de suport.
BeyondTrust, un proveïdor de serveis de ciberseguretat per a Okta, va assenyalar que la violació va tenir lloc el 2 d’octubre. Encara que els fitxers de BeyondTrust no van ser afectats, hi ha el potencial que els atacants accedissin a fitxers sensibles carregats per altres clients d’Okta. Els atacants van apoderar-se d’una galeta de sessió d’un administrador d’Okta, la qual BeyondTrust va detectar i va respondre en un termini de 30 minuts. No obstant això, la confirmació oficial d’Okta només va arribar el 19 d’octubre.
Les activitats dels atacants van estar limitades per la configuració de política personalitzada de BeyondTrust per a l’accés a la consola administrativa. Malgrat això, els atacants van intentar fer servir accions d’API administrativa autenticades amb la galeta de sessió robada, tractant de crear un compte d’usuari per a l’accés posterior. Afortunadament, BeyondTrust va identificar i va desactivar aquest compte abans que pogués causar més dany.
L’origen de la violació es remunta a un arxiu HAR carregat a l’entorn de BeyondTrust, probablement durant la solució legítima d’un altre tiquet de suport del client d’Okta. Aquest arxiu contenia la galeta de sessió utilitzada per l’atacant. El mètode exacte d’obtenir aquesta galeta encara no està clar.
Els recents desafiaments de seguretat d’Okta, inclosos els atacs “0ktapus” i diversos intents d’enginyeria social, han generat preocupació sobre les mesures de seguretat de l’empresa. Encara que l’entorn de gestió de casos de suport d’Okta es va veure compromès, la companyia assegura que el seu sistema de gestió de casos Auth0/CIC i el servei de producció no es van veure afectats. S’ha notificat als clients afectats.
Cloudflare, una altra companyia, va informar sobre activitat sospitosa relacionada amb el suport d’Okta el 18 d’octubre, assenyalant dos comptes d’empleats compromesos. BeyondTrust va observar que el compte administratiu maliciós d’Okta provenia d’una adreça IP de Malàisia, associada amb un servei proxy conegut.
Rahul Pawar, Vicepresident Global a Commvault, va destacar la importància d’una gestió robusta de contrasenyes i l’autenticació de múltiples factors (MFA). Va recomanar que les organitzacions que utilitzen Okta implementin contrasenyes fortes, MFA, monitoritzin registres per a anomalies i adoptin un model de seguretat de confiança zero. Pawar també va suggerir rotar totes les credencials d’Okta i realitzar formacions de consciència de seguretat per als empleats.
Source: Cpomagazine
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.