New Post-Exploitation Attack Method Found Affecting Okta Passwords
2023/03/23 InfoSecurity — 企業向け ID ソリューション・プロバイダーである Okta のソフトウェア監査ログから、攻撃者がユーザーのパスワードや認証情報を読み取ることができる、ポストエクスプロイトにおける新たな攻撃方法が発見された。この手法は、フォレンジック専門家である Mitiga により発見され、本日の未明に同チームが発表したアドバイザリで説明されている。
Okta のセキュリティ研究者である Doron Karmi と Or Aspir は、「ログイン時にユーザーが誤ったパスワードをフィールドに入力した場合において、Okta の監査ログにアクセス可能な敵対者は、管理コンソールから直接入手するか、出力されるログをシステムから入手するかを問わずに、Okta ユーザーのパスワードを読み取ることが可能である」と述べている。
技術的な観点から見ると、Okta システムがインスタンスへのログイン失敗を記録する方式に、この欠陥は起因している。Okta のレポートには、「このようなパスワードの間違いは、極端な例かもしれないが、ユーザーにとってはよくあることだ。結果的に、数多くの Okta 顧客にリスクをもたらすことになる」と記されている。
Karmi と Aspir は、「このような方法で入手した情報により、脅威アクターは Okta ユーザーのアカウントを侵害し、正規ユーザーがアクセス可能なリソースやアプリケーションに不正にアクセスできるようになり、攻撃の潜在的な影響を効果的に拡大する」と警告している。
彼らは、「ユーザーの認証情報を知ることに成功した攻撃者は、Okta のシングルサインオン (SSO) を使用している組織の、さまざまなプラットフォームの随所において、そのユーザーとしてログインを試みることが可能になる。また、管理者パスワードが公開されている場合には、この情報を使って特権を昇格させることも可能だ」と付け加えている。
また、このアドバイザリは、影響を受ける可能性のある組織に対して、Okta のログが保存されているログ分析プラットフォームや SIEM (Security Information and Event Management) の使用方法を見直すよう提案している。
Karmi と Aspir は、「この種のセキュリティ・リスクは、ID とアクセスの管理に Okta を使用している、すべての組織で発生する可能性がある。私たちは、これらの潜在的なパスワード暴露を、企業が特定する際に役立つ SQL クエリを作成した」と述べている。セキュリティ研究者たちが行うべきは、企業における MFA の利用と、SIEM でアクセス制御と監視オプションの実装、そして、エンド・ユーザーに対する教育である。
Mitiga の情報公開を受け、Otka は悪用方法の有効性を確認し、それに基づく潜在的な攻撃を緩和するための追加の推奨事項を提示した。
先日には、Group-IB のセキュリティ研究者が、Okta の ID 認証情報と接続された 2FA コードを標的とした、フィッシングキャン・ペーンに関する情報を公表している。それから数カ月後に、今回の Mitiga アドバイザリは発表されている。
Okta のソフトウェア監査ログから、ユーザーのパスワードや認証情報を読み取ることが可能な、新たな攻撃方法が発見されたとのことです。いたるところに、攻撃ベクターがあるという事例だと思います。昨年の Okta は、インシデントが続いてしましましたが、今回は早めに問題が解決されて良かったです。
2022/12/28:Okta の GitHub リポジトリ侵害から学ぶ
2022/09/21:34%を占めるクレデンシャル・スタッフィング
2022/08/25:Twilio/Okta ハッキングの全容
2022/07/20:Okta:パスワード窃取の可能性とは?
IoT OT Security News 
You must be logged in to post a comment.