Mediálny humbuk a zdroje
22.3.2022 sa objavila na internete informácia o kompromitácii identity platformy Okta hackerskou skupinou Lapsus$. Tá stojí napríklad aj za nedávnymi útokmi na spoločnosti Samsung a Nvidia. Skupina Lapsus$ na Twitteri publikovala screenshoty z Okta admin portálu rôznych zákazníkov – napr. z tenantu spoločnosti Cloudflare. Podľa správy Reuters a následnej reakcie Okty však zrejme ide o starší incident z januára tohto roku, kedy došlo ku kompromitácii a zneužitiu počítača jedného z externých support technikov pracujúcich pre Oktu. Počas chvíle sa toho chytili menej informované médiá a začali sa nafukovať senzácie, pozri napríklad článok „Čaká nás lavínový efekt, ohrozené sú údaje desiatok miliónov ľudí. Hackeri napadli správcu identít“ na Novinky.cz . Ten istý deň nás Okta cez partnerský kanál informovala o incidente s tým, že sa jedná naozaj o vec starú 2 mesiace a nie je dôvod na obavy alebo preventívne akcie.
Ako partner, dodávateľ a zároveň zákazník služby Okta sme pripravili tento krátky článok, ktorý zhrnie podstatu incidentu, dopady a možnú migitáciu. Podrobný popis incidentu a súvislostí od inžiniera zo security teamu Okty nájdete tu Okta’s Investigation of the January 2022 Compromise
Mechanizmus a dopady útoku
Okta používa pre niektoré činnosti, napríklad zákaznícku podporu, subdodávateľov, ktorých technický personál následne dostáva možnosť prihlasovať so svojím Okta účtom do zákazníckych tenantov, ktoré má v danej chvíli podporovať. Tieto loginy sú už z podstaty obmedzené, napríklad nemôžu vytvárať alebo mazať používateľa, sťahovať dáta atp.
V januári 2022 došlo u jedného takého subdodávateľa Sitel k ovládnutiu zariadenia jedného administrátora, a to úplne klasickou a primitívnou metódou hacknutia RDP prístupu (vzdialené plochy) na jeho stanici. Po ovládnutí stanice získali útočníci taktiež možnosť skúsiť využiť jeho login Okta. V dobe jednotiek dní spozoroval bezpečnostný team Okty pokus pridať ďalší faktor ku kompromitovanému účtu (a to heslo), následne bol účet zo strany Okty zablokovaný a Sitel informovaný, že majú v sieti podozrivú aktivitu. Následné vyšetrovanie u Sitela bolo uzavreté až v marci, Okta medzitým zistila, že počas 5 dní, kedy bolo dané zariadenie kompromitované, mal daný účet obmedzený prístup do 375 tenantov z celkových cca 15 000 zákazníkov, teda 2,5 %. Následná analýza logov v týchto tenantoch vylúčila podozrivú aktivitu, pravdepodobne vzhľadom na nemožnosť sa prihlásiť cez druhý faktor, napriek tomu boli títo zákazníci kontaktovaní a dostali k dispozícii reporty ohľadom aktivít v inkriminovanom období.
Skupina Lapsus$, ktorá za prienikom stála, sa zrejme vzhľadom na neúspech vlastného hacku, pokúsila aspoň marketingovo priživiť svoju mediálnu pozíciu, a zverejnila s dvoma mesačným oneskorením screenshoty z ovládanej stanice, ktoré neobsahujú žiadne dôkazy o škodlivom konaní.
Záver
Nie je dôvod na paniku alebo dokonca stratu dôvery pre riešenie Okta, naopak bezpečnostné štandardy Okty viedli k odhaleniu incidentu v inej organizácii a minimalizácii jeho dopadov. Avšak, komunikácia ohľadom incidentu neprebehla, tak ako mala, Okta podcenila, čo z relatívne bežného scenára dokážu urobiť dnešné médiá.
Pokiaľ ste zákazník Okty, a neboli ste už z ich strany kontaktovania a informovania, tak môžete byť úplne v kľude – vášho tenanta sa tento incident vôbec nedotkol, a to platí aj pre všetky Okta zákazníkov System4u.
Odporúčania pre klientov
Ak ste napriek tomu ľahko paranoidný, môžete sa riadiť týmito našimi odporúčaniami, ktoré sú všeobecne platné:
- Vyhľadať v logu resety hesiel a MFA od začiatku roka a zvážiť zmenu hesiel u týchto užívateľov
- Vypnúť nastavenie bezpečnostných otázok a možnosť ich použiť pre reset hesla / MFA
- Obmedziť kanály pre reset MFA / hesla, skrátiť validitu reset kódov
- Zapnúť mail notifikácie pre užívateľov pri prihlásení z nových zariadení / resetu hesla / MFA
- Vynútiť MFA pre prihlasovanie do všetkých aplikácií a nastaviť len bezpečné faktory (vypnúť mail, SMS, voice atď.)
- Znížiť session lifetime v autentizačných politikách
- Nastaviť automatické blokovanie neaktívnych používateľských kont
- Obmedziť počet administrátorov v Okte
Výhľadovo odporúčame zvážiť Passwordless autentizáciu s využitím Adaptive MFA.