0
0
Foi descoberto um método de ataque pós-exploração que permite aos adversários ler senhas de usuário em texto não criptografado para Okta, o provedor de acesso e gerenciamento de identidade (IAM) — e obter acesso de longo alcance a um ambiente corporativo.
Pesquisadores da Mitiga descobriram que o sistema IAM salva senhas de usuário Okta para auditar logs se um usuário as digitar acidentalmente no campo “nome de usuário” ao fazer login. e obter acesso a vários ativos corporativos que usam o Okta, disseram os pesquisadores.
“Em nossa pesquisa, poderíamos facilmente usar os logs para combinar a senha com o usuário válido, resultando na obtenção de credenciais para a conta de usuário da Okta”, escreveram no post o pesquisador sênior de segurança da Okta, Doron Karmi, e o principal pesquisador e desenvolvedor de segurança Or Aspir. Quando os adversários fazem login no Okta como esses usuários, ele “expande o raio de explosão do ataque para as muitas plataformas que o Okta protege e obtém mais acesso aos sistemas”, escreveram eles.
A vulnerabilidade existe porque os logs de auditoria do Okta fornecem informações detalhadas sobre a atividade do usuário, incluindo nomes de usuários, endereços IP e carimbos de data/hora de login. Os logs também fornecem informações sobre tentativas de login bem-sucedidas e malsucedidas e se elas foram realizadas por meio do navegador da Web ou do aplicativo móvel.
Em defesa dos recursos da Okta
O Okta é um serviço IAM de nível empresarial baseado em nuvem que conecta usuários corporativos em aplicativos e dispositivos e é usado por mais de 17.000 clientes em todo o mundo. Embora tenha sido criado para sistemas baseados em nuvem, também é compatível com muitos aplicativos locais.
Representantes da Okta confirmam que salvar senhas em texto simples em logs de auditoria é “um comportamento esperado quando os usuários inserem suas senhas por engano no campo de nome de usuário”, de acordo com uma declaração da empresa fornecida pela Mitiga. Eles também disseram que apenas os administradores da plataforma – os usuários mais privilegiados do sistema – têm acesso a logs de auditoria que salvam senhas em texto simples, e esses usuários “devem ser confiáveis para não se envolverem em atividades maliciosas”.
Não é a primeira vez que a empresa teve que defender um recurso interno da plataforma sobre como ela lida com as senhas dos usuários. A empresa postou uma postagem no blog em julho passado em resposta a um relatório dos pesquisadores da Authomize de que a arquitetura da Okta para sincronização de senha permite que agentes maliciosos conectados como administrador de um aplicativo downstream acessem senhas em texto simples, incluindo credenciais de administrador, mesmo em canais criptografados.
Esse relatório veio depois que o grupo de ameaças Lapsus $ alegou ter violado Oktacom credenciais de conta de “superusuário”, postando capturas de tela que eles alegaram ter obtido de sistemas internos. Foi determinado que 366 clientes da Okta foram potencialmente impactados nesse incidente, embora a Okta tenha dito mais tarde que determinou apenas duas violações reais .
O que acontece se usuários não confiáveis obtiverem acesso
A pesquisa da Mitiga é relevante se alguém que não seja um administrador confiável obtém acesso a esses logs e pode acessar os dados, o que pode acontecer de várias maneiras, disseram os pesquisadores.
Uma maneira seria se um invasor tivesse permissão para ler os logs na solução SIEM de uma organização, como Splunk, pois os logs são salvos nesta solução, disseram eles. Além disso, em tal cenário, todo usuário com acesso somente leitura à solução SIEM poderia ter acesso às senhas, incluindo os administradores do Okta.
Os invasores também podem obter acesso aos logs e, portanto, senhas de usuários por meio de serviços de terceiros com permissões para ler as configurações do Okta, como produtos de gerenciamento de postura de segurança em nuvem (CSPM) que solicitam uma função de administrador “somente leitura”, disseram os pesquisadores. “A função inclui a capacidade de ler os logs de auditoria, o que significa que esses produtos/serviços podem ler as credenciais dos usuários”, disseram eles.
Depois que os invasores obtêm acesso às credenciais do usuário, eles podem tentar fazer login como esses usuários em qualquer uma das diferentes plataformas da organização que usam o logon único do Okta. Esses dados também podem ser usados para aumentar privilégios no caso de senhas de administrador expostas, disseram os pesquisadores.
Evite Vazamento de Senhas Okta
Os pesquisadores da Mitiga e a Okta forneceram recomendações sobre como as empresas podem evitar expor inadvertidamente as credenciais da Okta a agentes de ameaças, com o último também aconselhando como os usuários da plataforma podem evitar digitar sua senha no campo de nome de usuário em primeiro lugar.
A Mitiga aconselhou as empresas a usar uma consulta SQL, que pode ser encontrada no GitHub da Mitiga, para detectar usuários em potencial que digitam suas senhas por engano e também consideram a rotação de senhas de usuários. Eles também devem treinar os funcionários para evitar inserir senhas no campo de nome de usuário na página de login do Okta e monitorar continuamente os logs de auditoria do Okta em busca de atividades suspeitas, incluindo tentativas de login malsucedidas, acompanhando as investigações, se necessário.
A implementação da autenticação multifator (MFA) também pode impedir o acesso não autorizado, mesmo que os invasores obtenham as credenciais dos usuários, de acordo com a Mitiga, um recurso que a Okta disse ser aplicado por padrão ao acessar o console de administração da Okta.
“Da mesma forma, os administradores podem configurar uma política de autenticação que requer MFA adicional ao fazer login em aplicativos específicos, o que restringiria ainda mais as ações que um agente mal-intencionado pode executar”, de acordo com Okta.
Para evitar o registro inadvertido de senhas no campo de nome de usuário, os usuários do Okta devem implementar a validação de campo para verificar se a entrada em cada campo corresponde ao formato esperado. Eles também podem implementar o recurso FastPass da Okta, que usa recursos biométricos ou ativação de dispositivo para permitir que os usuários façam login com um único clique ou toque, sem nem mesmo inserir um nome de usuário ou senha. Rotular claramente os campos “nome de usuário” e “senha” no Okta com texto de espaço reservado em cada campo, disse a empresa, também pode ajudar os usuários a evitar esse erro.
FONTE: DARK READING