专门提供身分及存取管理服务的Okta上周五(10/20)坦承,有骇客利用遭盗的凭证来存取该公司的支援案件管理系统,而Okta的合作伙伴BeyondTrust则说,该公司早在10月2日便察觉相关攻击,当时也已知会Okta。身为Okta客户的Cloudflare也以受害者的角度出面说明。消息传出的当天,Okta股价即大跌11.57%,以75.57美元作收。
Okta安全长David Bradbury说明,此一入侵行动将允许骇客检视最近特定客户因需技术支援所上传的档案,此次的意外并未波及Auth0/CIC案件管理系统,且因该系统与Okta生产服务是分开的,因此亦未影响公司营运。
在正常的客户支援流程中,Okta会要求客户上传一个HTTP Archive(HAR)档案,这是一个可用来追踪浏览器及网站之间的交流,以供Okta复制客户的浏览器行为并尝试解决问题。只是,HAR档案中有时也会含有机密资讯,像是Cookie或是会话令牌,而这些资讯足以让骇客用来假冒合法的使用者。
Okta已经通知所有受影响的客户,并协助客户展开调查与采取必要措施,包括撤销会话令牌。一般而言,Okta通常会建议客户在分享或上传HAR档案之前,应先删除档案中的所有凭证、Cookie与会话令牌。
Okta利用云端软体来协助企业管理使用者登入应用程式的身分验证,或是让开发者得以建置登入应用程式、网页服务或装置的身分验证控制,《CNBC》分析,全球有些超大型企业采用Okta的登入身分管理系统,包括FedEx及Zoom等,使得Okta成为骇客的高价值攻击目标。
另一方面,身为Okta客户的资安业者Cloudflare则揭露了更多的细节。
Cloudflare内部采用了Okta的系统执行员工的身分验证,而该公司是在10月18日察觉内部系统遭到攻击,追查之下发现源头为Okta,骇客利用Okta外泄的令牌进入了Cloudflare内部的Okta实例,由于及早发现,使得Cloudflare很快就作出了因应,并无任何客户系统或资讯受到此一事件的影响。此外,Cloudflare是在24小时之后才收到Okta的通知。
Cloudflare表示,该公司所遭遇的情景与Okta所描述的相符,Cloudflare员工在近日建立并上传了一个支援纪录(Support Ticket),骇客在进入Okta客户支援系统并检视该档案之后,挟持了该纪录中的会话令牌,借由所危害的两名Cloudflare员工的帐户,于10月18日存取Cloudflare系统。
此外,整合Okta系统的另一身分管理服务业者BeyondTrust也在同一天踢爆,该公司早在10月2日就察觉,有人利用自Okta客户支援系统偷来的会话令牌,企图存取BeyondTrust内部的Okta管理员帐户,当时便曾通知Okta。
Cloudflare指责Okta没有妥善处理此事,才令Cloudflare到了10月18日还受害,呼吁Okta应该要更早通知客户,也应利用硬体金钥来保障所有的系统。
Cloudflare亦建议Okta客户应启用硬体双因素身分验证(MFA)机制,详细调查Okta实例上的所有密码及MFA的变更,重设所有密码,以及监控所有Okta帐户、权限变更与新建立的使用者,也应重新审视会话过期政策以限制挟持攻击。
这并不是Okta第一次因为没能及时通知客户而受到批评,去年3月时,Okta坦承骇客集团Lapsus$危害了一名第三方客户支援工程师的帐户,但Okta其实是1月就知道,只是没有通知客户。