Хакер #305. Многошаговые SQL-инъекции
Крупный поставщик систем управления доступом и идентификацией, компания Okta, вновь сообщила о взломе. На этот раз хакеры использовали украденные учетные данные и получили доступ к файлам, содержащим cookie и токены сеансов, которые клиенты компании загружали в систему управления поддержкой.
Глава Okta по безопасности, Дэвид Брэдбери (David Bradbury), подчеркивает, что пострадавшая система отделена от основного сервиса Okta и системы Auth0/CIC, которые не пострадали и работают в штатном режиме. Также отмечается, что компания уже уведомила всех пострадавших клиентов, а их около 1% от общего количества (18 400 компаний).
Хотя пока в Okta не раскрывают подробностей о том, какая именно информация о клиентах была раскрыта, и к каким именно данным хакеры смогли получить доступ, известно, что атакованная система управления поддержкой использовалась для хранения файлов HTTP Archive (HAR). Они нужны для воспроизведения возникающих у пользователей ошибок и используются в ходе устранении различных проблем.
Также эти файлы могут содержать конфиденциальные данные, включая cookies и токены сеансов, которые теперь могут использоваться злоумышленниками для захвата учетных записей клиентов.
«HAR-файлы представляют собой запись активности браузера и могут содержать конфиденциальные данные, включая содержимое посещенных страниц, заголовки, cookies и другие данные, — поясняется на странице поддержки Okta. — Хотя это позволяет сотрудникам Okta воспроизводить активность браузера и устранять неполадки, злоумышленники могут использовать эти файлы для того, чтобы выдать себя за вас».
В сообщении Okta отмечается, что в рамках расследования инцидента компания сотрудничает с пострадавшими клиентами и уже отозвала токены сеансов, встроенные в HAR-файлы. Теперь всем клиентам рекомендуется проверять свои HAR-файлы перед передачей и убеждаться, что они не содержат учетных данных, cookies и токенов.
Уже известно и о первых компаниях, которые пострадали из-за случившегося. Так, компания BeyondTrust, специализирующаяся на управлении идентификацией, сообщила, что была одним из пострадавших клиентов и предоставила дополнительную информацию о случившемся.
2 октября 2023 года специалисты BeyondTrust обнаружили и заблокировали попытку входа в учетную запись администратора Okta с помощью cookie-файла, похищенного из системы поддержки Okta. Хотя компания сразу же связалась с Okta и предоставила все собранные данные, свидетельствующие о взломе системы поддержки, сотрудникам Okta потребовалось более двух недель, чтобы подтвердить компрометацию.
«Мы высказали свои опасения по поводу взлома компании Okta 2 октября. Не получив от Okta никаких подтверждений возможной атаки, мы продолжали работать с Okta до 19 октября, когда руководство службы безопасности Okta наконец уведомило нас о том, что у них действительно произошел взлом и мы являемся одним из пострадавших клиентов», — пишут представители BeyondTrust.
В своем заявлении BeyondTrust подчеркивает, что в итоге злоумышленники не получили доступ ни к одной из ее систем, так что клиенты не пострадали.
Также вредоносную активность, связанную со взломом Okta, на своих серверах заметили эксперты Cloudflare. Попытка атаки была обнаружена в минувшую среду, 18 октября 2023 года.
«Хотя этот инцидент вызвал беспокойство, благодаря оперативному обнаружению и быстрому реагированию нашей группы Security Incident Response Team (SIRT) удалось локализовать его и свести к минимуму воздействие на системы и данные Cloudflare. Мы убедились, что информация и системы клиентов Cloudflare не пострадали в результате произошедшего», — сообщают в компании.
Известно, что в случае Cloudflare злоумышленники использовали токен аутентификации, украденный из системы поддержки Okta, чтобы войти в инстанс Okta компании Cloudflare, используя для этого открытую сессию с правами администратора.
Cloudflare связалась с Okta по поводу этой атаки за 24 часа до того, как получила официальное уведомление о взломе, который затронул системы Okta.
«Судя по всему, в нашем случае злоумышленники смогли перехватить токен сеанса из заявки в службу поддержки, которая была создана сотрудником Cloudflare. Используя токен, полученный от Okta, злоумышленник получил доступ к системам Cloudflare 18 октября. В ходе этой сложной атаки, по нашим наблюдениям, злоумышленники скомпрометировали две отдельные учетные записи сотрудников Cloudflare на платформе Okta», — рассказывают в Cloudflare.
Напомним, что это далеко не первый взлом Okta за последние годы. К примеру, в 2022 году хак-группа Lapsus$ скомпрометировала Okta, и тогда атака затронула около 2,5% клиентов компании (около 370 компаний). Позже представители компании выразили сожаление, что не раскрыли подробности об этом взломе сразу, а также поделились детальной подробной хронологией инцидента и его расследования.
Также в прошлом году одноразовые пароли (OTP), которые Okta отправляет клиентам посредством SMS, были украдены группой угроз Scatter Swine (она же 0ktapus), которая после этого взломала компанию Twilio в августе 2022 года.