22.3.2022 se objevila na internetu informace o kompromitaci identity platformy Okta hackerskou skupinou Lapsus$. Ta stojí například i za nedávnými útoky na společnosti Samsung a Nvidia. Skupina Lapsus$ na Twitteru publikovala screenshoty z Okta admin portálu různých zákazníků – např. z tenantu společnosti Cloudflare. Dle zprávy Reuters a následné reakce Okty se ovšem zřejmě jedná o starší incident z ledna tohoto roku, kdy došlo ke kompromitaci a zneužití počítače jednoho z externích support techniků pracujících pro Oktu. Během chvíle se toho chytla méně informovaná média a začala se nafukovat senzace, viz například článek „Čeká nás lavinový efekt, ohroženy jsou údaje desítek milionů lidí. Hackeři napadli správce identit“ na Novinky.cz. Ten samý den nás Okta přes partnerský kanál informovala o incidentu s tím, že se jedná opravdu o věc starou 2 měsíce a není důvod k obavám nebo preventivním akcím.
Jako partner, dodavatel a zároveň zákazník služby Okta jsme připravili tento krátký článek, který shrne podstatu incidentu, dopady a možnou migitaci. Podrobný popis incidentu a souvislostí od inženýra ze security teamu Okty naleznete zde Okta’s Investigation of the January 2022 Compromise
Mechanismus a dopady útoku
Okta používá pro některé činnosti, například zákaznickou podporu, subdodavatele, jejichž technický personál následně dostává možnost přihlašovat se svým Okta účtem do zákaznických tenantů, které má v danou chvíli podporovat. Tyto loginy jsou už z podstaty omezené, například nemůžou vytvářet nebo mazat uživatele, stahovat data atp.
V lednu 2022 došlo u jednoho takového subdodavatele Sitel k ovládnutí zařízení jednoho administrátora, a to naprosto klasickou a primitivní metodou hacknutí RDP přístupu (vzdálené plochy) na jeho stanici. Po ovládnutí stanice získali útočníci také možnost zkusit využít jeho login Okta. V době jednotek dnů zpozoroval bezpečností team Okty pokus přidat další faktor ke kompromitovanému účtu (a to heslo), následně byl účet ze strany Okty zablokován a Sitel informován, že mají v sítí podezřelou aktivitu. Následné vyšetřování u Sitelu bylo uzavřeno až v březnu, Okta mezitím zjistila, že během 5 dnů, kdy bylo dané zařízení kompromitované, měl daný účet omezený přístup do 375 tenantů z celkových cca 15 000 zákazníků, tedy 2,5 %. Následná analýza logů v těchto tenantech vyloučila podezřelou aktivitu, pravděpodobně vzhledem k nemožnosti se přihlásit přes druhý faktor, přesto byli tito zákazníci kontaktování a dostali k dispozici reporty ohledně aktivit v inkriminovaném období.
Skupina Lapsus$, která za průnikem stála, se zřejmě vzhledem k neúspěchu vlastního hacku, pokusila alespoň marketingově přiživit svoji mediální pozici, a zveřejnila s dvou měsíčním zpožděním screenshoty z ovládané stanice, které neobsahují žádné důkazy o škodlivém jednání.
Závěr
Není důvod k panice nebo dokonce ztrátě důvěry pro řešení Okta, naopak bezpečnostní standardy Okty vedly k odhalení incidentu u jiné organizace a minimalizaci jeho dopadů. Nicméně, komunikace ohledně incidentu neproběhla, tak jak měla, Okta podcenila, co z relativně běžného scénáře dokážou udělat dnešní média.
Pokud jste zákazník Okty, a nebyli jste již z jejich strany kontaktování a informování, tak můžete být naprosto v klidu – vašeho tenanta se tento incident vůbec nedotkl, a to platí také pro všechny Okta zákazníky System4u.
Doporučení pro klienty
Pokud jste přesto lehce paranoidní, můžete se řídit těmito našimi doporučeními , které jsou obecně platná:
- Vyhledat v logu resety hesel a MFA od začátku roku a zvážit změnu hesel u těchto uživatelů
- Vypnout nastavení bezpečnostních otázek a možnost je použít pro reset hesla / MFA
- Omezit kanály pro reset MFA / hesla, zkrátit validitu reset kódů
- Zapnout mail notifikace pro uživatele při přihlášení z nových zařízení / resetu hesla / MFA
- Vynutit MFA pro přihlašování do všech aplikací a nastavit jen bezpečné faktory (vypnout mail, SMS, voice atd.)
- Snížit session lifetime v autentizačních politikách
- Nastavit automatické blokování neaktivních uživatelských účtu
- Omezit počet administrátorů v Oktě
Výhledově doporučujeme zvážit Passwordless autentizaci s využitím Adaptive MFA.