Okta Support System Hacked, Sensitive Customer Data Stolen
2023/10/20 SecurityWeek — 10月20日 (金) に ID/Access 管理企業の Okta が警告したのは、同社のサポートケース管理システムに侵入したハッカーが、正当なユーザーを装うために悪用できる機密データを盗み出したことだ。Okta のセキュリティ責任者である David Bradbury によるセキュリティ通知には、盗み出されたクレデンシャルを悪用して、同社のサポートケース管理システムにアクセスする “敵対行為” を発見したと記されている。
Bradbury は、「この脅威者は、最近のサポートケースの一部として、特定の Okta 顧客がアップロードしたファイルを閲覧できていた。それらの盗まれたデータには、さらなる攻撃につなげるための、機密クッキーとセッション・トークンが含まれている」と注意を促している。
Okta アドバイザリ・・・通常の業務の中で、Okta のサポートは顧客に対して、HTTP アーカイブ (HAR) ファイルのアップロードを依頼する。その HAR ファイルには、クッキーやセッション・トークンなどの機密データが含まれている可能性があり、脅威アクターが有効なユーザーを装うために使用できる。
Oktaでは、影響を受けた顧客と協力して調査を行い、埋め込まれたセッション・トークンの失効などの、顧客を保護するための対策を講じた。Okta が一般的に推奨するのは、HAR ファイル内の全ての認証情報およびクッキー/セッション・トークンを、共有する前にサニタイズすることだ ・・・ Okta
Bradbury によると、漏洩した Okta サポートケース管理システムは、プロダクション環境の Oktaサービスとは別のものであり、Okta サービスは影響を受けず、完全に稼働しているという。 また、Auth0/CIC ケース管理システムにも、今回のインシデントによる影響はないという。
Okta は不審な IP アドレスのリスト (大半は商用 VPN ノード) を公開し、不審なセッション/ユーザー/IP についてシステム・ログを検索するよう顧客に推奨した。
その一方で、セキュリティ会社 BeyondTrust の警告は、この Okta のサポートシステム侵害に関連する、サイバー攻撃の標的になったというものだ。
BeyondTrust は、「このインシデントは、Okta のサポート・システムから盗まれた有効なセッション・クッキーを使用して、社内の Okta 管理者アカウントにアクセスしようとする攻撃者を、BeyondTrust のセキュリティ・チームが検出したことから始まった。カスタム・ポリシー・コントロールにより、攻撃者の最初の行動はブロックされたが、Okta のセキュリティ・モデル制限が許してしまったことで、攻撃者は限定されたアクションを実行できた」と述べている。
Okta が矢面に立たされているのは、サードパーティ組織に侵入するために、同社のインフラを狙うハッキング・グループがいるからだ。
2023年9月に Okta が発表したのは、同社の IT サービスデスク担当者を標的にする高度なハッキング集団が、標的組織内の高特権ユーザーの多要素認証 (MFA) をリセットするよう促していたことだ。
この攻撃でハッカーは、新たな横方向へ動きと防御回避方法を使用したと、Okta は述べているが、脅威アクターの最終的な目標に関する情報は共有していない。関連性の有無については不明だが、2022年には “0ktapus” と名乗る金銭的動機に基づくサイバー犯罪キャンペーンの一環として、多くの Okta 顧客が標的にされていた。
最近の Okta に関しては、2023/09/02 の「Okta ユーザーを欺くソーシャル・エンジニアリング:Super Admin アカウントが狙われている」と、2023/09/16 の「MFA に対する本質的な問題提起:Okta が護れなかった MGM Resorts インシデントとは?」という記事がありました。今日の記事との関連性は判りませんが、よろしければ、ご参照ください。
You must be logged in to post a comment.