Okta 支持系统遭攻陷,已有Cloudflare、1Password等三家客户受影响
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Okta 指出,攻击者利用被盗凭据,访问了由客户上传到支持管理系统的文件,内含 cookie 和会话令牌等。目前,BeyondTrust、Cloudflare 和 1Password 三家厂商已知受影响。
Okta 公司的首席安全官 David Bradbury 指出,‘’威胁行动者能够查看最近支持案例中某些客户上传的文件。应该注意的是,Okta 支持案例管理系统不同于Okta 生产服务,后者目前运行正常并未受影响。”他还提到,该事件并不影响 Autho/CIC 案例管理系统。Okta 已通知了所有因该事件而导致Okta环境或支持工单受影响的客户。如未受到警报邮件,则说明未受影响。
会话令牌和cookie遭暴露
虽然Okta 尚未详述遭暴露或遭访问的客户信息是什么,但受陷的支持案例管理系统被用于存储复刻用户或管理员错误以处理多种用户问题的 HTTP Archive (HAR) 文件。另外,该系统中还包括敏感数据,如cookie 和会话令牌,它们可被用于劫持客户账户。
Okta 公司在支持网站上提到,“这些数据可使 Okta 员工复刻浏览器活动并解决问题,不过恶意人员也可利用这些文件假冒用户。”
目前,Okta 公司正在与受影响客户一起开展调查并撤销内嵌在共享HAR文件中的会话令牌。Okta 公司建议所有客户在共享前清理 HAR 文件,以确保其中不含凭据和 cookie/会话令牌。该公司还共享了调查中观察到的妥协指标,包括与攻击者相关联的IP地址和 web 浏览器 user-agent 信息。
Okta 并未就事件本身以及受影响客户数量等问题做出回应。该公司的发言人表示该支持系统“独立于Okta生产服务,后者运行正常且不受影响。我们已通知受影响客户并采取措施保护客户安全”。
由 BeyondTrust 公司发现
身份管理公司 BeyondTrust 表示自己是受影响的客户之一,并提供了相关事件信息。
BeyongTrust 公司指出,安全团队检测并拦截了10月2日利用Okta 支持系统被盗 cookie 而登录Okta内部管理员账户的尝试。虽然与Okta 公司进行联系并提供了受攻陷的取证数据,但Okta 花了两周的时间才证实这起事件。
BeyondTrust 表示,“我们在10月2日向 Okta 提起攻陷担忧。在没有收到 Okta 关于可能存在攻陷事件的证实后,我们坚持在Okta 公司内部升级此事,10月19日,Okta 安全管理层通知我们称确实遭受攻陷,而我们是受影响客户之一。”
BeyondTrust 表示,通过“自定义策略控制”阻击了该攻击,但由于“Okta 安全模型中的限制条件”,恶意人员鞥能够执行“一些受陷操作”。尽管如此,BeyondTrust 公司表示,攻击者并未获得对公司任何系统的访问权限,而其客户并未受影响。
BeyondTrust 公司还发布了沟通时间线:
2023年10月2日:在Okta 内部管理员账号中检测并修复了以身份为核心的攻击,并告知OKkta。
2023年10月3日:鉴于已有初始取证表明Okta支持组织机构内存在攻陷情况,因此要求 Okta 支持团队将事件升级到 Okta 安全团队处。
2023年10月11日和10月13日:与 Okta 安全团队通过Zoom 会话解释为何我们认为他们已遭攻陷。
2023年10月19日:Okta 安全管理层证实内部遭攻陷,并表示 BeyondTrust 是受影响客户之一。
Cloudflare 也受影响
Cloudflare 公司也于10月18日在自家服务器上发现了与 Okta 攻陷相关的恶意活动。该公司表示,“虽然这起安全事件仍然担忧,但得益于我们安全事件响应团队的检测和及时响应,阻断并将对Cloudflare 系统和数据的影响最小化。我们已证实,Cloudflare 客户信息或系统并未受影响。”
Cloudflare 在收到遭攻击警报的24小时前,联系了 Okta公司。Cloudflare 公司提到,“在我们的场景中,威胁行动者能够劫持由 Cloudflare 员工创建的支持工单中的一个会话令牌。通过从Okta提取的令牌,威胁行动者在10月18日访问了 Cloudflare 系统。在这起复杂攻击中,我们观察到威胁行动者攻陷了 Okta 平台中两名 Cloudflare 员工的账号。”
1Password 遭攻击,与Okta 事件有关
服务10多万企业客户的热门密码管理平台 1Password 在 Okta 公司 ID 管理租户遭黑客访问后,也遭受安全攻击。
1Password 公司的首席技术官 Pedro Canahuati在一份简短的事件通知中写道,“我们在与支持系统事件相关联的 Okta 实例中检测到可疑活动。经过全面调查后,我们认为1Password 用户数据并未遭访问。9月29日,我们在用于管理面向员工的应用的Okta 实例中检测到可疑活动。我们立即终止该活动,展开调查,结果并未发现用户数据遭攻陷或在敏感系统如员工或用户向应用中发现攻陷情况。”
1Password 在本周一下午发布的报告中指出,攻击者利用被盗的IT员工会话 cookie 攻陷了 Okta 租户。
1Password 在报告中表示,“与 Okta 支持部门协作发现,该事件与一起已知事件存在相似之处。在已知事件中,威胁行动者将攻陷超级管理员账户,之后尝试操纵认证流并设立第二级身份提供商模拟受影响组织机构中的用户。”
1Password 在报告中提到,1Password IT 团队的一名成员通过 Okta 设立了一个支持案例,并提供了通过 Chrome Dev Tools 创建的一份 HAR 文件。该文件中包含用于越权访问 Okta 管理员门户网站的同样的 Okta 认证会话。通过使用该访问权限,攻击者可执行如下操作:
试图访问IT团队成员的用户仪表盘但遭Okta 拦截。
更新了与Google 生产环境关联的一个现有IDP(Okta 身份提供商)。
激活该 IDP。
请求关于管理员用户的报告。
1Password 的IT团队在收到一份非官方的请求获得管理员报告的可疑邮件后,发现了这起事件,“之后,我们与 Okta 一起判断初始攻陷向量。截止到10月20日周五,我们证实事件是由 Okta 支持系统攻陷引发的”。
然而,关于1Password 如何遭攻陷还是有一些疑问,因为Okta公司声称日志并未显示IT 员工的HAR文件在 1Password 安全事件后才遭访问。
1Password 公司表示,该事件发生后就更改了所有IT员工凭据并修改了他们的 Okta 配置,包括拒绝非Okta IDP 的登录,减少管理员用户的会话次数,加强对管理员用户MFA的规则管理,以及减少超级管理员的数量等。
我们将持续关注事件动态。
Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控
MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击
OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
https://www.bleepingcomputer.com/news/security/okta-says-its-support-system-was-breached-using-stolen-credentials/
https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。