Nietypowy atak na Okta. Przez portal support zdobywali uprawnienia adminów klientów Okty

W dość suchym oświadczeniu tutaj, Okta pisze o ataku na swój system helpdesk.

Okta Security zidentyfikowała wrogie działanie, które wykorzystywało wykradzione dane uwierzytelniające – w celu uzyskania dostępu do systemu pomocy technicznej Okta.

Okta Security has identified adversarial activity that leveraged access to a stolen credential to access Okta’s support case management system.

Na początek już się zaczyna „dobrze” – brak 2FA w systemie Okta – do logowania się do jednego z ich dość kluczowych systemów? Wykradzione credentiale do tego systemu?

Ale można powiedzieć, ale przecież to tylko system helpdesk – gdzie Okta udziela wsparcia swoim klientom. No to czytajmy dalej:

W ramach normalnej działalności pomoc techniczna Okta poprosi klientów o przesłanie pliku archiwum HTTP (HAR), który umożliwia rozwiązywanie problemów poprzez replikację aktywności przeglądarki. Pliki HAR mogą również zawierać wrażliwe dane, w tym cookie i tokeny sesji, które złośliwi aktorzy mogą wykorzystać do podszywania się pod prawidłowych użytkowników

Within the course of normal business, Okta support will ask customers to upload an HTTP Archive (HAR) file, which allows for troubleshooting of issues by replicating browser activity. HAR files can also contain sensitive data, including cookies and session tokens, that malicious actors can use to impersonate valid users.

Czyli w ramach zapewnienia wsparcia, klienci proszeni są czasem o przesłanie pewnego dumpa (plik har) ze swojej przeglądarki. Dump może zawierać np. ciasteczka użytkownika, a tam klucze sesji. Innymi słowy można czasem, posiadając te dane, przejąć sesję HTTP ofiary, nie posiadając jej hasła!

Nota bene atakujący brykał sobie w sieci Okta przez przeszło 2 tygodnie, atakując kolejnych klientów. Co ciekawe Okta była powiadomiona o potencjalnym incydencie już 2 października 2023, ale atak udało im się potwierdzić dopiero 19 października…

~ms