Okta今年为何被黑？研究发现4大高危害漏洞｜身份攻击溯源

前情回顾

• 知名身份厂商Okta被黑，全球网络空间或又掀血雨腥风

身份安全公司Authomize的研究人员认为，身份服务提供商Okta正面临严重安全漏洞。这些漏洞可能导致恶意黑客远程访问该平台、提取明文密码、冒充下游应用程序用户，并通过篡改日志内容隐藏行为证据。

然而，Okta却向研究人员表示，这些问题是功能，而非bug，Okta应用是按照预期设计运行。

今年1月，黑客团伙Lapsus$宣布使用“superuser”账户入侵了Okta，并发布了据称获取自内部系统的屏幕截图。事后确认，共有366名Okta客户因此受到影响。

Authomize公司CTO Gal Diskin在安全分析报告中表示，“今年年初的Okta入侵事件公开后，我们开始重点研究在Okta平台上获得最小访问权限，恶意黑客可以采取何种行动。”

Diskin表示，Okta的密码同步架构允许恶意黑客以明文形式访问密码，包括管理员凭证，甚至可以经由加密通道实现访问。为此，攻击者需要以下游应用程序（例如客服代理或财务运营团队）的管理员身份登录Okta系统，再据此重新配置系统，通过跨域身份管理（SCIM）获取任意Okta用户的密码。

报告显示，“要提取明文密码，恶意黑客需要获得应用程序的管理员权限。”鉴于各种规模组织（特别是企业）内的用户数量不断攀升，Diskin认为从统计数据来看，应用程序管理员权限外泄的可能性已经非常高。

Verizon 2022年数据泄露调查报告发现，有82%的泄露事件涉及凭证被盗和网络钓鱼等元素。更令人担忧的是，应用程序管理员往往并未被视为高权限身份。

研究人员指出，对Okta来说，密码之所以会以明文形式存在，是因为其缺少可靠的标准协议进行哈希同步。Authomize还提到，Okta方面已经承诺由产品团队认真研究密码泄露风险。

附：研究人员发现Okta的4个影响较大的安全风险

1. 通过跨域身份管理（SCIM）提取明文密码，应用管理员可以提取其它高权限账号的密码；

2. 通过未加密通道（HTTP）传输密码和敏感数据，SCIM服务器与Okta之间的所有流量可被嗅探；

3. Hub & Spoke架构下，子组织管理员可以仿冒主组织超级管理员账号，获取超管权限；

4. 用户可修改姓名，身份可变导致日志欺骗。

参考资料：darkreading.com

声明：本文来自安全内参，版权归作者所有。