Okta Patches Vulnerability Allowing Unauthorized Access
2024/10/04 SecurityOnline — 先日に Identity/Access 管理の大手 Okta は、有効な認証情報を持つ攻撃者に対して、重要なセキュリティ対策の回避を許してしまう脆弱性に対処した。この脆弱性は、Okta Classic 内の特定のコンフィグレーションに存在するものである。2024年7月のリリースに起因しているが、特定されたのは 9月27日である。
Okta のセキュリティ・アドバイザリには、「2024年9月27日の時点で、Okta の特定のコンフィグレーションに脆弱性が発見された。この脆弱性の悪用に成功した、有効な認証情報を持つ攻撃者は、アプリケーション固有のサインオン・ポリシー内のコンフィグ条件を回避できる。それらの回避される条件としては、ネットワークゾーン/デバイスタイプ制限/認証要件などの重要な保護手段が挙げられる。
基本的に、この脆弱性により侵害された、アプリケーション・サインオン・ポリシーにリンクされた、アプリケーションに対する不正アクセスが許可される可能性が生じる。ただし、悪用は簡単ではないとされる。Okta は、この脆弱性を悪用するには、3つの条件が前提になると明確にしている。
- 有効な認証情報:攻撃者は正当なユーザー名とパスワードを必要とする。
- アプリケーション固有のポリシー:ユーザー組織は、アプリケーション固有のサインオン・ポリシーで構成されている必要がある。
- 不明なデバイス・タイプ:Okta が “不明” なデバイス・タイプとして分類する、ユーザー・エージェントを使用する必要がある。一例として挙げられるものには、Python スクリプトや一般的でないブラウザーなどがある。
リスクの詳細について、「この脆弱性が悪用された場合には、アプリケーション・サインオン・ポリシーに関連付けられた、アプリケーションへの不正アクセスが可能になる」と、Okta は説明している。
幸いなことに、2024年10月4日の時点で、Okta は脆弱性に対処している。ただし、2024年7月17日の時点で Okta Classic を使用し、悪用の条件を満たしているユーザーに対して、Okta が強く推奨するのは、システムの積極的な調査である。
同社が推奨するのは、2024年7月17日 〜 10月4日の間に、”不明” なユーザー・エージェントから発信された疑わしい認証試行について、Okta システム・ログを徹底的に確認することである。この目的のために Okta が提供するクエリは:outcome.result eq “SUCCESS” and (client.device eq “Unknown” OR client.device eq “unknown”) and eventType eq “user.authentication.sso” である。
ログ分析に加えて、さらなる調査を、Okta は提案している。
- 重要なアプリケーションを優先する:Microsoft Office 365 や Radius などの、デフォルトでコンフィグが不可能なポリシー・ルールを持つ、アプリケーションに対して細心の注意を払うべきだ。
- 検索範囲を広げる:2024年7月17日より以前において、同様のアクティビティを探し出し、ベースラインを確立し、異常を特定する。
- 認証情報攻撃の正体を暴く:認証情報の詰め込み攻撃やパスワード・スプレー攻撃の兆候と推測される、失敗した認証試行について調査する。
- 行動分析:異常な地理的位置/IP アドレス/アクセス時間/ASN などの、通常のユーザー行動からの逸脱に注意してほしい。
Okta に発生した脆弱性もしくはミスコンフィグにより、2024年7月17日以降において、何らかの悪意のアクティビティが引き起こされていた可能性があるようです。この問題が特定されたのは 9月27日であり、今後において CVE が採番されるのかどうかも分かりません。ひょっとすると、ミスコンフィグであり、脆弱性でなはないと、判断されるのかもしれません。とは言え、侵害の条件が満たされている場合には、すでに攻撃の対象となっている可能性も否定できません。ご利用のチームは、ご注意ください。よろしければ、Okta で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.