Okta – IoT OT Security News

CircleCI／LastPass／Okta／Slack が狙われる：サプライチェーン攻防の要は ID 管理と開発環境だ

CircleCI, LastPass, Okta, and Slack: Cyberattackers Pivot to Target Core Enterprise Tools

2023/01/14 DarkReading — 開発パイプライン・サービスを提供する CircleCI が、１月上旬にセキュリティ侵害について警告し、同社のプラットフォーム上に保存／管理されている、パスワードや SSH キーなどの機密情報などを、直ちに変更するようユーザー企業に呼びかけている。CircleCI は、DevOps サービスへの攻撃から生じる、侵害範囲の特定／ソフトウェア改ざんの抑制／開発機密の侵害の特定などに躍起になっていた。具体的に言うと、認証トークンのローテーション／コンフィグレーションの変更／他のプロバイダーとの連携によるキーの失効／インシデント調査などを、同社は進めてきた。

Auth0 が JsonWebToken の脆弱性を FIX：22,000 以上プロジェクトに影響か？

Auth0 fixes RCE flaw in JsonWebToken library used by 22,000 projects

2023/01/09 BleepingComputer — Auth0 が修正したリモートコード実行の脆弱性は、22,000 以上プロジェクトで使用され、NPM からは毎月 3600 万回以上もダウンロードされている、人気のオープンソース・ライブラリ JsonWebToken に存在するものだ。このライブラリは、Microsoft／Twilio／Salesforce／Intuit／Box／IBM／Docusign／Slack／SAP などのオープンソース・プロジェクトでも使用されている。

Okta の GitHub リポジトリ侵害から学ぶ：セキュリティ確保のための７つのヒント

Why Attackers Target GitHub, and How You Can Secure It

2022/12/28 DarkReading — 先週に Okta は、GitHub でホストされている同社のソースコードに、攻撃者がアクセスするというセキュリティ侵害について発表した。ただし、それは、GitHub に保存される企業のソースコードに対する、不正なアクセスを仕掛ける攻撃の、最新の事例に過ぎない。以前には、Dropbox／Gentoo Linux／Microsoft なども、GitHub のアカウントが狙われたことがあるのだ。

Okta の GitHub リポジトリで侵害が発生：３月の Lapsus$ との関連性は不明

Okta’s source code stolen after GitHub repositories hacked

2022/12/21 BleepingComputer — 今月のことだが、認証サービスおよび IAM (Identity and Access Management) ソリューションの大手プロバイダーである Okta は、同社のプライベート GitHub リポジトリがハッキングされたことを発表した。Okta から送信された機密のメール通知によると、このセキュリティ・インシデントにおいて、脅威アクターが Okta のソースコードを盗み出したという。

Dropbox の開発者を狙うフィッシング：GitHub リポジトリ侵害と 130 件のコード流出

130 Dropbox code repos plundered after successful phishing attack

2022/11/02 HelpNetSecurity — Dropbox はデータ侵害に遭ったが、攻撃者による Dropbox のアカウント／パスワード／支払い情報などへのアクセスはなかったので、ユーザーは心配する必要ない。その代わりに、同社が GitHub にホストしている 130件のプライベート・リポジトリーからコードが取得されてしまった。

Auth0 警告：2020年以前のコード・リポジトリが流出したが Okta には影響なし

Auth0 warns that some source code repos may have been stolen

2022/09/28 BleepingComputer — 認証サービスプロバイダーであり、Okta の子会社でもある Auth0 は、同社のコード・リポジトリの一部に関わる、”Security Event” と呼ぶものを公表した。Auth0 の認証プラットフォームは、AMD／Siemens／Pfizer／Mazda／Subaru などを含む、30カ国 2000社以上の企業ユーザーにより、毎日 4200万回以上のログインの認証に使用されている。

Okta 報告：全ログイン試行の 34%を占めるクレデンシャル・スタッフィングの猛攻

Okta: Credential stuffing accounts for 34% of all login attempts

2022/09/21 BleepingComputer — 2022 Q2 にクレデンシャル・スタッフィング攻撃が流行し、そのためのトラフィックが、一般ユーザーからの正当なログイン試行回数を上回る国もあるという。この種の攻撃で悪用されるのは、複数のサイトで同じ認証情報のペア (ログイン名とパスワード) を使用する、パスワード・リサイクルという悪習慣である。

MFA 疲れを狙う攻撃：フィッシングで根負けさせ Microsoft／Cisco／Uber などを陥落

MFA Fatigue: Hackers’ new favorite tactic in high-profile breaches

2022/09/20 BleepingComputer — 企業の認証情報へのアクセスを試みるハッカーたちは、大規模なネットワークに侵入するために、ソーシャル・エンジニアリング攻撃を多用し始めている。多要素認証の普及に伴い、それらのを攻撃する際の構成要素の１つとして、MFA Fatigue (MFA 疲れ) と呼ばれる手法が一般的になってきた。企業ネットワークに侵入する際にハッカーたちは、盗み出した従業員のログイン認証情報を使って VPN や内部ネットワークに、アクセスするのが一般である。そしてハッカーたちにとっては、フィッシングやマルウェアで流出させた認証情報があり、また、ダークウェブ・マーケット・プレイスで購入した認証情報もありという具合に、さまざまな方法で企業の機密情報の入手が可能であり、それは難しいことではないというのが現実である。

Uber で生じたデータ侵害：Lapsus$ によるソーシャル・エンジニアリングが侵入経路？

Uber links breach to Lapsus$ group, blames contractor for hack

2022/09/19 BleepingComputer — 先週にサイバー攻撃に遭った Uber だか、その背後にいるハッカーについて、Microsoft／Cisco／NVIDIA／Samsung／Okta などの著名ハイテク企業を侵害したとされる、Lapsus$ グループに関連すると考えているようだ。この攻撃者は、盗み出した Uber EXT 契約者の認証情報を用いて、その契約者たちに 2FA ログインを要求し、誰かが受け入れるまで、MFA 疲れ攻撃を行ったと、同社は述べている。

Twilio／Okta ハッキングの全容：背後にいる脅威アクターの追跡も始まる

Twilio hackers hit over 130 orgs in massive Okta phishing attack

2022/08/25 BleepingComputer — 最近に発生した、Twilio／MailChimp／Klaviyo などへの、一連のサイバー攻撃を実行したハッカーは、同じフィッシング・キャンペーンにより 130以上の組織に侵入した。このフィッシング・キャンペーンでは、コードネーム 0ktapus と呼ばれるフィッシング・キットが使用され、合計で 9,931件のログイン情報が盗み出され、それを基に VPN などのリモートアクセス介して、企業のネットワークやシステムへのアクセスが行われた。

ゼロトラスト戦略の急速な拡大：地域と分野での取り組みをデータで参照

The factors driving today’s accelerated zero trust adoption

2022/08/18 HelpNetSecurity — Okta の 2022 State of Zero Trust Security Report により、ビジネスにおける重要かつ必須の事項はバズワードからゼロトラストへと、急速に変化していることが判明した。現時点において 97％の企業が、ゼロトラスト・イニシアチブを実施しているか、あるいは、今後の 12～18カ月以内に実施するとしており、2018年の 16％から上昇し、過去４年間で 500％以上の増加となっている。

OCFS でセキュリティ・アラートを正規化：AWS と Splunk が Black Hat で発表

New Cross-Industry Group Launches Open Cybersecurity Framework

2022/08/12 DarkReading — BLACK HAT USA – LAS VEGAS — Amazon Web Services (AWS) と Splunk は、各種の監視システムにおけるセキュリティ・アラートの標準化を推進するために、18種類のシステムおよびセキュリティ・ベンダーによる、業界としての取り組みを主導していく。その目的は、セキュリティ・チームのためにあり、セキュリティ・データを迅速に取り込み分析するための、ベンダーにとらわれない簡素化された分類法を提供することにある。

Cookie セッション・ハイジャックの脅威：ZTNA／MFA ツールの大半は無力化される

Many ZTNA, MFA Tools Offer Little Protection Against Cookie Session Hijacking Attacks

2022/09/11 DarkReading — 組織において、内部ネットワークからインターネット・トラフィックを分離するためにディプロイされるツールの多く (多要素認証／ZTNA／SSO／ID プロバイダー・サービスなど) は、Cookie の盗難／再利用および、セッションハイジャック攻撃からの保護にはほとんど効果がない。今週にイスラエルの新興企業 Mesh Security の研究者たちが発表したところによると、これらの技術やサービスには、適切な Cookie セッション検証メカニズムがないことが多いという、したがって、これらの技術やサービスを、攻撃者は比較的容易に迂回できるという現実がある。

Twilio にデータ侵害が発生：従業員に対する SMS フィッシングが攻撃の侵入経路

Twilio discloses data breach after SMS phishing attack on employees

2022/08/08 BleepingComputer — クラウド・コミュニケーション企業の Twilio は、従業員の認証情報が SMS フィッシング攻撃で盗まれた後に、内部システムに侵入した攻撃者により、一部の顧客データに不正アクセスされたことを発表した。同社は、「2022年8月4日に、従業員の認証情報を盗むことを目的とした高度なソーシャル・エンジニアリング攻撃により、限られた数の Twilio 顧客アカウントに関連する情報への、不正アクセスを確認した」と述べている。

Okta の脆弱性：研究者たちが指摘するパスワード窃取の可能性とは？

Okta Exposes Passwords in Clear Text for Possible Theft

2022/07/20 DarkReading — Authomize の研究者たちの指摘によると、ID／アクセス管理プロバイダーの Okta が、深刻なセキュリティ脆弱性に直面しているようだ。この脆弱性により、脅威アクターは、プラットフォームへのリモート・アクセスが容易になり、平文のパスワードを抽出し、下流アプリのユーザーになりすまし、ログを改ざんして痕跡を消すことが可能になる。しかし Okta は、この指摘に対し、これはアプリの脆弱性ではなく機能であり、アプリは設計通りに動作していると述べている。

Tag: Okta