Okta の脆弱性:研究者たちが指摘するパスワード窃取の可能性とは?

Okta Exposes Passwords in Clear Text for Possible Theft

2022/07/20 DarkReading — Authomize の研究者たちの指摘によると、ID/アクセス管理プロバイダーの Okta が、深刻なセキュリティ脆弱性に直面しているようだ。この脆弱性により、脅威アクターは、プラットフォームへのリモート・アクセスが容易になり、平文のパスワードを抽出し、下流アプリのユーザーになりすまし、ログを改ざんして痕跡を消すことが可能になる。しかし Okta は、この指摘に対し、これはアプリの脆弱性ではなく機能であり、アプリは設計通りに動作していると述べている。

2021年1月に脅威グループ Lapsus$ は、Okta の superuser アカウント認証情報を用いて不正侵入し、内部システムから取得したとするスクリーンショットを公開した。このインシデントでは、366人の Okta のユーザーが被害を受けたとされている。

今週に発表された、Authomize CTO の Gal Diskin によるセキュリティ分析によると、「私たちは、2022年初めに発生した Okta の不正アクセスのニュースを受けて、Okta プラットフォーム内で脅威アクターが最低限のアクセス権を得た場合に、どのようなアクションが可能になるのかを解析してきた」と述べている。

彼は、「潜在的な脅威アクターは、パスワード同期に関する Okta のアーキテクチャにより、暗号化されたチャネル上でも、管理者認証情報を含む平文でパスワードにアクセスすることができる。ただし、それを実現するには、ユーザー・サービス担当者/金融業務チームなどの、下流アプリの管理者としてシステムにサインインする必要がある。攻撃者は、そこから System for Cross-domain Identity Management (SCIM) を再構成し、あらゆる Okta ユーザーのパスワード窃取が可能になる」と説明している。

このレポートによると、脅威アクターが平文のパスワードを抽出するために必要なことは、アプリの管理者権限の取得のみだという。

Diskin は、「あらゆる規模の組織において、ユーザー数が常に拡大していることを考えると、アプリ管理者が侵害される確率は、統計的にかなり高い。2022年の Verizon Data Breach Investigations Report によると、侵害の 82%には、盗まれた認証情報やフィッシングなどの人的要素が含まれていることが判明している。さらに懸念すべきは、これらのアプリ管理者は、一般的に特権的なアイデンティティとして扱われていないことだ」と指摘している。

Okta には、ハッシュを同期するための、標準的な信頼できるプロトコルがないため、パスワードは平文であると、研究者たちは指摘している。その上で、パスワード漏えいのリスクについて、Okta の製品チームによる詳細な調査が実施されると、Authomize は述べている。

Okta について、このブログの中を検索したところ、Lapsus$ との絡みで何度か登場していました。時系列に並べると、3月22日の「Microsoft が Lapsus$ ハッキングを認める:Bing などのソースコードにアクセス」4月2日の「ロンドン市警の声明:Lapsus$ のメンバーとされる少年たちを逮捕/起訴した」、4月13日の「Okta を侵害した Lapsus$:影響を受けたテナントは2件のみだった」という展開です。一連の問題と、今回の Authomize による指摘の間に、なんらかの関連性があるのかないのか、そのあたりは不明ですが、続報が出てくるのではないかと期待しています。

%d bloggers like this: