0
0
Os logins com falha registrados no domínio Okta de uma empresa podem ser usados por agentes de ameaças para descobrir credenciais de acesso de contas válidas, descobriram os pesquisadores da Mitiga.
Essas credenciais podem então ser usadas para fazer login em qualquer uma das plataformas da organização que usam o logon único (SSO) Okta ou – se as credenciais de login pertencerem a um administrador – para obter acesso privilegiado a outros sistemas ou áreas de rede restritas.
Como descobrir credenciais Okta válidas em logs
“Ao fazer login no domínio Okta de sua organização, é bastante comum que um usuário digite sua senha por engano no campo de nome de usuário na página de login. Isso resulta em falha de login. No entanto, a infeliz consequência dessa ação é que a falha na solicitação de login é registrada nos logs de auditoria do Okta”, explicaram os pesquisadores da Mitiga, Doron Karmi e Or Aspir .
Um login com falha devido à senha inserida no campo de nome de usuário – conforme visto em um log do Okta (Fonte: Mitiga)
A senha inserida como nome de usuário é incluída nos logs em texto simples, o que significa que qualquer pessoa que tenha acesso aos logs pode lê-la e combinar a senha com o nome de usuário correto.
“Na maioria dos casos, os usuários posteriormente farão um login bem-sucedido, registrando o nome de usuário correto no arquivo de log”, observaram.
Esse método para encontrar credenciais válidas do Okta depende da capacidade dos invasores de acessar e/ou ler os logs de auditoria do Okta.
“Esses logs são acessíveis apenas aos administradores do Okta, que são os usuários mais privilegiados do Okta e devem ser confiáveis para não se envolver em atividades maliciosas”, disse Okta aos pesquisadores.
Mas e se os logs de auditoria forem salvos em uma solução de gerenciamento de eventos e informações de segurança (SIEM) de uma organização? Além disso, a empresa pode estar usando produtos e serviços de terceiros que se integram ao Okta, e esses produtos podem solicitar permissões para ler as informações do ambiente, o que também significa a capacidade de visualizar logs do Okta.
“Confirmamos com a Okta que, se os logs da Okta forem enviados para a solução SIEM da empresa ou se os serviços de terceiros se integrarem à Okta com algumas permissões administrativas, os logs poderão ser vistos por pessoas que não são administradores da Okta”, disseram Karmi e Aspir Ajuda Net Security.
Isso significa que os analistas de SOC da empresa têm acesso a essas informações, mas também que um ataque à cadeia de suprimentos, resultando no comprometimento dos serviços integrados de terceiros, pode permitir que os invasores obtenham as informações de login com falha e (consequentemente) descubram credenciais válidas.
Mitigação de riscos
A configuração da autenticação multifator (MFA) no nível da organização ou do aplicativo pode ajudar a impedir o acesso não autorizado, mesmo que os invasores obtenham as credenciais dos usuários, mas há maneiras de contornar essa proteção adicional (como demonstraram recentes ataques bem-sucedidos ) .
A Okta também aconselha os administradores a:
- Crie restrições de caracteres personalizadas para o campo de nome de usuáriopara evitar que senhas sejam inseridas
- Coloque o texto do espaço reservado nos campos de nome de usuário e senhapara fornecer uma indicação visual ao usuário sobre o tipo de entrada necessária
- Considere implementar a autenticação sem senha Okta FastPass
As organizações também devem treinar seus funcionários para serem cuidadosos e evitar inserir senhas no campo de nome de usuário na página de login do Okta e monitorar os logs de auditoria para tentativas de login com falha e outras atividades suspeitas.
Os pesquisadores criaram uma consulta SQL para soluções SIEM que corresponde a tentativas de login com falha com um padrão de senha para tentativas de login subsequentes bem-sucedidas e pode ser usada para detectar credenciais de usuários acidentalmente armazenadas nos logs de auditoria do Okta.
“Usando esse método, conseguimos encontrar centenas de senhas em potencial nos dados de nossos clientes, inclusive para usuários em nível de administrador”, observaram, e apontaram que todas as senhas descobertas nos logs do Okta deveriam ser alteradas.
Por fim, as organizações devem garantir o uso seguro de soluções SIEM de terceiros. “É crucial garantir que a solução seja segura e configurada corretamente. Isso inclui a implementação de controles de acesso e monitoramento de qualquer acesso não autorizado aos logs”, acrescentaram.
FONTE: HELPNET SECURITY