Ciberseguridad 360 | Hackeo del Sistema de Soporte de Okta a través de Credenciales Robadas

Okta dice que los atacantes accedieron a archivos que contienen cookies y tokens de sesi�n cargados por los clientes en su sistema de gesti�n de soporte despu�s de violarlo utilizando credenciales robadas.

"El actor de amenazas pudo ver archivos cargados por ciertos clientes de Okta como parte de casos de soporte recientes", dijo el director de seguridad de Okta, David Bradbury.

"Cabe se�alar que el sistema de gesti�n de casos de soporte de Okta est� separado del servicio de producci�n de Okta, que est� en pleno funcionamiento y no se ha visto afectado".

El CSO de Okta agreg� que este incidente no afect� el sistema de gesti�n de casos de Auth0/CIC. Okta notific� a todos los clientes cuyo entorno de Okta o tickets de soporte se vieron afectados por el incidente. Aquellos que no hayan recibido una alerta no se ver�n afectados.

Tokens de sesi�n y cookies expuestos

Si bien la empresa a�n no ha proporcionado detalles sobre qu� informaci�n del cliente qued� expuesta o a la que se accedi� durante la infracci�n, el sistema de gesti�n de casos de soporte violado en este ataque tambi�n se utiliz� para almacenar archivos HTTP Archive (HAR) utilizados para replicar errores de usuarios o administradores para solucionar varios problemas. Problemas reportados por los usuarios.

Tambi�n contienen datos confidenciales, como cookies y tokens de sesi�n, que los actores de amenazas podr�an utilizar para secuestrar cuentas de clientes.

"Los archivos HAR representan un registro de la actividad del navegador y posiblemente contengan datos confidenciales, incluido el contenido de las p�ginas visitadas, encabezados, cookies y otros datos", explica Okta en su portal de soporte.

"Si bien esto permite al personal de Okta replicar la actividad del navegador y solucionar problemas, los actores maliciosos podr�an usar estos archivos para hacerse pasar por usted".

La empresa trabaj� con los clientes afectados durante la investigaci�n del incidente y revoc� los tokens de sesi�n integrados en archivos HAR compartidos. Ahora recomienda a todos los clientes que desinfecten sus archivos HAR antes de compartirlos para asegurarse de que no incluyan credenciales ni cookies/tokens de sesi�n.

Okta tambi�n comparti� una lista de indicadores de compromiso observados durante la investigaci�n, incluidas direcciones IP e informaci�n del agente de usuario del navegador web vinculada a los atacantes.

Un portavoz de Okta no respondi� a las preguntas sobre la fecha de la infracci�n ni cu�ntos clientes se vieron afectados.

En cambio, el portavoz dijo que el sistema de soporte "est� separado del servicio de producci�n Okta, que est� en pleno funcionamiento y no se ha visto afectado. Hemos notificado a los clientes afectados y hemos tomado medidas para proteger a todos nuestros clientes".

Incumplimiento descubierto por BeyondTrust

Gesti�n de identidades BeyondTrust dice que fue uno de los clientes afectados y proporcion� informaci�n adicional sobre el incidente.

El equipo de seguridad de BeyondTrust detect� y bloque� un intento de iniciar sesi�n en una cuenta de administrador interna de Okta el 2 de octubre utilizando una cookie robada del sistema de soporte de Okta.

Si bien BeyondTrust se puso en contacto con Okta y les proporcion� datos forenses que mostraban que su organizaci�n de soporte estaba comprometida, Okta tard� m�s de dos semanas en confirmar la infracci�n.

"Le planteamos a Okta nuestra preocupaci�n por una infracci�n el 2 de octubre. Al no haber recibido ning�n reconocimiento por parte de Okta de una posible infracci�n, persistimos con las escaladas dentro de Okta hasta el 19 de octubre, cuando los l�deres de seguridad de Okta nos notificaron que efectivamente hab�an experimentado una infracci�n y que est�bamos uno de sus clientes afectados", dijo BeyondTrust .

BeyondTrust dice que el ataque fue frustrado por "controles de pol�ticas personalizados", pero debido a "limitaciones en el modelo de seguridad de Okta", el actor malicioso pudo realizar "algunas acciones limitadas".

A pesar de esto, la compa��a dice que el atacante no obtuvo acceso a ninguno de sus sistemas y que sus clientes no se vieron afectados.

BeyondTrust tambi�n comparti� la siguiente l�nea de tiempo del ataque:

2 de octubre de 2023: se detect� y repar� un ataque centrado en la identidad en una cuenta de administrador interna de Okta y se alert� a Okta.
3 de octubre de 2023: se solicit� al soporte de Okta que escalara al equipo de seguridad de Okta dado que los an�lisis forenses iniciales apuntaban a un compromiso dentro de la organizaci�n de soporte de Okta.
11 de octubre , 2023 y 13 de octubre de 2023: se realizaron sesiones de Zoom con el equipo de seguridad de Okta para explicar por qu� cre�amos que podr�an estar comprometidos.
19 de octubre de 2023: el liderazgo de seguridad de Okta confirm� que ten�an una violaci�n interna y BeyondTrust era uno de sus clientes afectados.

Cloudflare tambi�n afectado

Cloudflare tambi�n descubri� actividad maliciosa relacionada con la violaci�n de Okta en sus servidores el mi�rcoles 18 de octubre de 2023.

"Si bien este fue un incidente de seguridad preocupante, la detecci�n en tiempo real y la respuesta r�pida de nuestro Equipo de Respuesta a Incidentes de Seguridad (SIRT) permitieron la contenci�n y minimizaron el impacto en los sistemas y datos de Cloudflare", dijo la compa��a .

"Hemos verificado que este evento no afect� la informaci�n ni los sistemas de los clientes de Cloudflare".

Los atacantes aprovecharon un token de autenticaci�n robado del sistema de soporte de Okta para acceder a la instancia de Okta de Cloudflare mediante una sesi�n abierta con privilegios administrativos.

Cloudflare se puso en contacto con Okta con respecto al incidente 24 horas antes de que se les alertara de la infracci�n que afectaba a los sistemas de Okta.

"Parece que en nuestro caso, el actor de amenazas pudo secuestrar un token de sesi�n de un ticket de soporte creado por un empleado de Cloudflare. Usando el token extra�do de Okta, el actor de amenazas accedi� a los sistemas de Cloudflare el 18 de octubre". Dijo Cloudflare.

"En este sofisticado ataque, observamos que los actores de amenazas comprometieron dos cuentas separadas de empleados de Cloudflare dentro de la plataforma Okta".

M�ltiples incidentes de seguridad en menos de 2 a�os

El a�o pasado, Okta revel� que algunos de los datos de sus clientes quedaron expuestos despu�s de que el grupo de extorsi�n de datos Lapsus$ obtuviera acceso a sus consolas administrativas en enero de 2022.

Las contrase�as de un solo uso (OTP) entregadas a los clientes de Okta a trav�s de SMS tambi�n fueron robadas por el grupo de amenazas Scatter Swine (tambi�n conocido como 0ktapus), que viol� la empresa de comunicaciones en la nube Twilio en agosto de 2022.

Auth0, proveedor de servicios de autenticaci�n propiedad de Okta, tambi�n revel� en septiembre que algunos repositorios de c�digo fuente m�s antiguos fueron robados de su entorno utilizando un m�todo desconocido.

Okta revel� su propio incidente de robo de c�digo fuente en diciembre despu�s de que los repositorios privados de GitHub de la compa��a fueran pirateados .

Fuente: bleepingcomputer.com