Security Week 2343: новый инцидент в компании Okta
На прошлой неделе стало известно о новом серьезном инциденте в компании Okta, которая предоставляет организациям ряд сервисов для аутентификации пользователей. Учетные записи Okta используют для внутренних сервисов множество компаний; подробности об инциденте сообщили две из них: Cloudflare и BeyondTrust. Официальное заявление самой пострадавшей компании достаточно лаконично, хотя в нем и указаны индикаторы компрометации.
Примечательно, что это не первый инцидент в Okta за этот год. В марте выяснилось, что инфраструктура компании была скомпрометирована группировкой LAPSU$. В обоих случаях злоумышленники смогли проникнуть во внутренний сервис технической поддержки Okta, хотя дальнейшие методы атаки на клиентов различались. И в том, и в другом случае компрометация внутренней инфраструктуры была обнаружена далеко не сразу.
Наиболее подробно инцидент описан в блоге компании BeyondTrust. В ходе атаки на клиентов Okta использовались файлы формата HTTP Archive или HAR. Их можно сгенерировать в популярных браузерах и отправить в службу поддержки для детального анализа какой-либо проблемы. Второго октября сотрудник BeyondTrust, исследуя какую-то проблему вместе со службой поддержки Okta, так и поступил. В HAR-файле по определению содержится приватная информация, в данном случае сессионные куки и секретные ключи для доступа к сервису Okta по API. Злоумышленники, получившие доступ к порталу поддержки Okta, могли иметь доступ к HAR-файлам, загруженным ранее. Возможно, они также могли запрашивать такие файлы у клиентов. В течение 30 минут после отправки HAR-файла BeyondTrust регистрировала попытки получения доступа к клиентской консоли Okta с использованием украденной сессии. Так как настройки учетной записи BeyondTrust в сервисе Okta были нестандартные, атака закончилась неудачей. Тем не менее попытки получить хоть какую-то информацию некоторое время продолжались, в том числе с использованием ключа для API.
В публикации компании Cloudflare меньше технических деталей, но есть одна важная дата. Похожие попытки доступа к учетной записи Okta были зафиксированы 18 октября. Только 19 октября Okta сообщила о проблеме пострадавшим клиентам. Таким образом, весьма вероятно, что Okta узнала о взломе из жалобы клиента. Более того, в период со 2 по 18 октября Okta уже знала о проблеме, но атакующие по-прежнему имели доступ к части внутренней инфраструктуры. Учитывая сходство новой атаки с произошедшей ранее в этом году, можно предположить, что сервис поддержки Okta защищен недостаточно хорошо и при этом содержит достаточно чувствительную информацию. В этот раз речь идет от HAR-файлах. В начале же года взломщики инициировали принудительный сброс пароля. Хотя это само по себе и не обеспечивало доступ к учетке, атакующие могли применить социальную инженерию, чтобы все же получить пароль от жертвы.
Среди рекомендаций Okta есть одна довольно странная в данных обстоятельствах: перед отправкой HAR-файлов предварительно очищать их от чувствительной информации. Рекомендации Cloudflare более конкретные: использовать аппаратные ключи доступа. Именно необходимость дополнительной авторизации с помощью аппаратного ключа помогла остановить и эту атаку на Cloudflare с использованием Okta, и предыдущую такую же. Если бы двухфакторная авторизация не была установлена, атакующие могли бы проникнуть в клиентскую консоль Okta и уже через нее скомпрометировать реальные учетные записи для доступа к инфраструктуре организации.
Что еще произошло:
Компания Cisco закрыла крайне серьезную уязвимость в операционной системе IOS XE, которая используется для управления промышленными сетевыми устройствами компании. Подробный отчет о проблеме опубликован командой специалистов Cisco Talos. Десятибалльная уязвимость CVE-2023–20273 позволяет полностью обойти систему авторизации и получить права суперпользователя. Она эксплуатировалась как минимум с 18 сентября, и по состоянию на начало прошлой недели сканирование сети выявляло десятки тысяч устройств Cisco, которые уже были скомпрометированы. Впрочем, к концу недели количество взломанных устройств снизилось до нескольких сотен.
Еще одна критическая эксплуатируемая уязвимость обнаружена и закрыта в корпоративных сетевых решениях Citrix Netscaler ADC и Gateway.
Эксперты «Лаборатории Касперского» подробно проанализировали комбинированную атаку на организации, призванную обеспечить злоумышленникам максимальную прибыль. В одном «пакете» на скомпрометированную систему устанавливаются криптомайнер, кейлоггер и бэкдор.
Google тестирует новую функцию браузера Chrome, затрудняющую отслеживание пользователя по его IP-адресу. Для этого трафик будет автоматически перенаправляться через ряд прокси-серверов, принадлежащих самой Google. В отличие от традиционных VPN, часто используемых для маскировки реального расположения пользователя, прокси-серверы Google будут расположены на небольшом расстоянии от пользователя.