Okta 称其支持系统因被盗凭证遭入侵
Okta 表示,攻击者利用被盗凭证入侵了其支持管理系统,并访问了客户上传到该系统中的包含 cookies 和会话令牌的文件。
Okta 首席安全官 David Bradbury 表示:“威胁行为者能够查看部分 Okta 客户在近期支持案例中上传的文件。” 他同时强调:“需要注意的是,Okta 的支持案例管理系统与生产环境的 Okta 服务是分离的,生产系统依然全面运转,没有受到影响。”
Okta 的 CSO 还补充说,本次事件并未影响 Auth0/CIC 案例管理系统。Okta 已通知所有受影响的客户,其 Okta 环境或支持工单受到了此次事件的波及。目前已知受影响的公司包括 BeyondTrust、Cloudflare 和 1Password。未收到警报的客户则不受影响。
在承认支持系统遭入侵后,Okta 的股价在近三日出现下跌。
会话令牌与 Cookie 暴露
虽然 Okta 并未披露本次攻击中黑客访问了哪些客户信息,但受损的支持案例管理系统中存放着 HTTP Archive (HAR) 文件。这类文件用于复现用户或管理员操作失误并解决问题,同时也可能包含敏感数据,如 cookies 和会话令牌,威胁行为者可借此劫持客户账户。
Okta 在支持门户上解释道:“HAR 文件记录了浏览器活动,可能包含敏感数据,包括访问过的页面内容、请求头、cookies 以及其他数据。虽然这些文件能帮助 Okta 员工重现问题并解决,但若被恶意行为者获取,则可能被用来冒充用户。”
目前,Okta 正与受影响的客户合作调查,并已吊销了受影响 HAR 文件中的会话令牌。同时建议所有客户在共享 HAR 文件前进行清理,确保其中不含凭证和 cookies/会话令牌。Okta 还分享了入侵调查中观察到的攻击指标,包括相关的 IP 地址和浏览器 User-Agent 信息。
当 BleepingComputer 就攻击发生日期和受影响客户数量向 Okta 询问时,其发言人并未正面回答,仅强调支持系统与生产服务是分离的,并已通知受影响客户并采取保护措施。
相反,该发言人表示,支持系统“与生产环境的 Okta 服务是分离的,生产服务依然全面运转且未受影响。我们已经通知了受影响的客户,并正在采取措施保护所有客户。”
BeyondTrust 首次发现入侵迹象
身份管理公司 BeyondTrust 表示其是受影响客户之一,并披露了更多细节。
2023 年 10 月 2 日,BeyondTrust 的安全团队检测并阻止了一次利用从 Okta 支持系统窃取的 Cookie,企图登录内部 Okta 管理员账户的攻击。
虽然 BeyondTrust 随即联系 Okta 并提供取证数据,证明其支持组织已被攻陷,但 Okta 花了两个多星期才确认此次入侵。
BeyondTrust 表示:“我们在 10 月 2 日就向 Okta 提出可能存在入侵,但由于一直未收到确认,我们认为 Okta 仅在内部升级处理。直到 10 月 19 日,Okta 的安全领导层才正式通知我们确实发生了入侵,我们是受影响客户之一。”
BeyondTrust 称攻击虽然被自定义策略控制阻止,但由于 Okta 安全模型的限制,攻击者仍能执行“一些有限的操作”。不过,攻击者未能访问 BeyondTrust 的任何系统,其客户也未受影响。
攻击时间线:
2023 年 10 月 2 日:发现并阻止针对内部 Okta 管理员账户的攻击,并通知 Okta。
10 月 3 日:初步取证显示 Okta 支持组织被攻陷,请求 Okta 支持团队上报给 Okta 安全团队。
10 月 11 日 & 13 日:与 Okta 安全团队召开 Zoom 会议,解释为何相信他们已被攻陷。
10 月 19 日:Okta 安全领导层确认入侵。
Cloudflare 亦受影响
2023 年 10 月 18 日,Cloudflare 在其服务器上发现与 Okta 漏洞相关的恶意活动。
Cloudflare 表示:“虽然这是一件令人担忧的安全事件,但我们安全事件响应团队 (SIRT) 的实时检测和快速反应有效遏制了攻击,并将对系统和数据的影响降到最低。已确认没有任何 Cloudflare 客户数据或系统受影响。”
攻击者利用从 Okta 支持系统窃取的认证令牌,以管理员权限的开放会话进入了 Cloudflare 的 Okta 实例。Cloudflare 在 Okta 系统漏洞通知发布前 24 小时就已联系 Okta。
Cloudflare 解释说:“在我们的案例中,威胁行为者似乎通过 Cloudflare 员工提交的支持工单窃取了会话令牌。随后,他们利用这些从 Okta 获取的令牌,于 10 月 18 日进入了 Cloudflare 系统。”
在此次复杂攻击中,攻击者还成功入侵了两个 Cloudflare 员工的 Okta 平台账户。
1Password 发现可疑活动
被超过 10 万家企业使用的知名密码管理平台 1Password 也在其 Okta 身份管理租户上发现可疑活动。
1Password CTO Pedro Canahuati 在简短的安全通报中写道:“我们在一个与 Okta 支持系统相关的实例中检测到可疑活动。经过彻底调查,我们确认没有 1Password 用户数据被访问。”
他补充道:“在 2023 年 9 月 29 日,我们检测到用于管理员工应用的 Okta 实例出现可疑活动。我们立即终止了该活动,并确认无论是面向员工还是面向用户的敏感系统都未受影响。”
两年内多次安全事件
2022 年 1 月:数据勒索组织 Lapsus$ 入侵 Okta 管理控制台,导致部分客户数据泄露。
2022 年 8 月:威胁组织 Scatter Swine 攻破 Twilio,窃取了通过短信发送给 Okta 客户的一次性密码 (OTP)。
2022 年 9 月:Okta 旗下的认证服务商 Auth0 披露部分旧的源代码库被盗。
2022 年 12 月:Okta 证实其私有 GitHub 仓库被黑,源代码遭窃。
Table of Contents
What We Provide
Managed IT Service
How can we help you?
Call Us, Write Us, Or Knock On Our Door. We are here to help. Thanks for contacting us!
