WithSecure Okta Threat Update
Security advisory
Zusammenfassung
- Ein Daten-Erpresser namens LAPSUS$ hat behauptet, er habe sich Zugang zum Identitätsanbieter Okta verschafft und diesen genutzt, um die Kunden von Okta zu kompromittieren. Einige Screenshots, die von der Bedrohung geteilt wurden, scheinen die Möglichkeit zu zeigen, dass administrative Aktionen für ein Benutzerkonto durchgeführt werden können.
- WithSecure kann die Kompromittierung oder die Auswirkungen nicht unabhängig bestätigen, aber der Okta-CEO hat getwittert, dass ein Unterprozessor verletzt wurde, was mit einem Screenshot übereinstimmt, den der Bedrohungsakteur von einem scheinbar internen System von Okta gepostet hat.
- Okta wird von vielen Unternehmen für die Verwaltung des Zugriffs auf Cloud- und SaaS-Lösungen verwendet, die im Falle einer Kompromittierung große Auswirkungen auf kritische Systeme haben könnten.
- Nach Einschätzung von WithSecure besteht das Hauptrisiko des LAPSUS$-Bedrohungsakteurs wahrscheinlich im Diebstahl von Daten zu Erpressungszwecken.
- WithSecure empfiehlt Unternehmen, angemessene Maßnahmen zu ergreifen, um die Auswirkungen einer potenziellen Kompromittierung zu minimieren, wie im Folgenden beschrieben.
Hintergrund
WithSecure ist bekannt, dass ein Angreifer behauptet hat, den Identitätsanbieter Okta kompromittiert zu haben. Der als LAPSUS$ bekannte Angreifer behauptete auf seinem Telegram-Kanal, sich Zugang zu Okta verschafft zu haben und stellte Screenshots zur Verfügung, die den Zugriff auf scheinbar interne Systeme von Okta zeigen. Die Screenshots scheinen alle das Datum des 21. Januar 2022 zu zeigen. WithSecure kann diese Screenshots nicht unabhängig verifizieren, aber der CEO von Okta hat Tweets[1] gepostet, die zu bestätigen scheinen, dass ein Support-Ingenieur bei einem Sub-Processor um diese Zeit kompromittiert wurde. Der Angreifer[2] und Okta scheinen in ihren Beiträgen zu bestätigen, dass dieser Zugang nicht mehr vorhanden ist.
Der Angreifer von LAPSUS$ hat behauptet, dass er keine Datenbanken von Okta ausspioniert hat und sich stattdessen auf die Kunden von Okta konzentriert hat, zu denen eine Reihe hochrangiger Organisationen auf der ganzen Welt gehören. Der Auszug enthält einen Screenshot, der zu zeigen scheint, dass der Akteur Zugriff auf ein Konto hat, mit dem er das Passwort zurücksetzen, ein temporäres Passwort generieren, den Multi-Faktor-Zugang (MFA) zurücksetzen und Gruppen des Kontos ändern kann.
Der Angreifer von LAPSUS$ scheint ein finanziell motiviertes Datenerpressungsmodell zu betreiben, bei dem er Daten von Organisationen stiehlt und eine Zahlung dafür verlangt, dass diese Daten nicht veröffentlicht werden. Berichten zufolge war LAPSUS$ an einer Reihe hochkarätiger Sicherheitsverletzungen beteiligt, unter anderem bei Microsoft, NVIDIA, Samsung und Ubisoft[3] (WithSecure kann dies nicht unabhängig bestätigen).
WithSecure's Sicht
Okta wird häufig von Unternehmen verwendet, um den Zugriff auf ihre Cloud- und SaaS-Anwendungen zu verwalten. Wenn dies zutrifft, stellt die Kompromittierung von Okta ein Risiko für Organisationen dar, die Okta nutzen, oder für Organisationen, deren Lieferanten Okta nutzen. Da der Bedrohungsakteur Screenshots dieses Zugriffs veröffentlicht hat und gezeigt hat, dass er in der Lage ist, sich Zugang zu anderen hochkarätigen Organisationen zu verschaffen, unabhängig davon, ob er mit dieser Kompromittierung in Verbindung steht oder nicht, stellt dies ein glaubwürdiges Risiko dar, für das WithSecure empfiehlt, dass Unternehmen angemessene Maßnahmen zur Risikominderung ergreifen. Nach Einschätzung von WithSecure besteht das Hauptrisiko des LAPSUS$-Bedrohungsakteurs wahrscheinlich im Diebstahl von Daten zu Erpressungszwecken.
Was Sie zumindest tun sollten
- Falls noch nicht geschehen, ermitteln und dokumentieren Sie Ihre Exposition gegenüber Okta direkt und über Ihre Lieferanten/Drittanbieter.
- Bestimmen Sie anhand der Gefährdung, welche kritischen Daten möglicherweise gefährdet sind, und konzentrieren Sie sich auf Maßnahmen zur Schadensbegrenzung und Reaktion auf diese Systeme.
- Erfassen Sie alle Geheimnisse oder Anmeldeinformationen, die mit der Verwaltung von Okta durch Ihr Unternehmen zusammenhängen.
- Bewahren Sie Okta-Protokolle seit Jahresbeginn auf, um sicherzustellen, dass keine Protokolle aufgrund von Beschränkungen oder Bereinigungen verloren gehen.
- Überprüfen Sie Okta-Protokolle im Zusammenhang mit der Verwaltung von Okta-Konten und -Zugängen auf Anzeichen von Kompromittierung oder Missbrauch seit Jahresbeginn[4].
Darüber hinaus
- Überprüfung des MFA-Zugangs für alle Okta-Konten, um festzustellen, ob der Zugang seit Jahresbeginn hinzugefügt oder manipuliert wurde.
- Überprüfung aller Authentifizierungsprotokolle im Zusammenhang mit Okta auf anomale oder böswillige Nutzung seit Jahresbeginn.
- Überprüfung von Protokollen, die zeigen, dass alte Konten wieder aktiviert und Passwörter zurückgesetzt wurden.
- Implementierung einer Erkennungslogik für bösartige Aktivitäten im Zusammenhang mit Okta. Einige bestehende Erkennungslogiken sind als Open Source verfügbar und können als Leitfaden für diese Aktivitäten verwendet werden [5][6].
- Auch wenn keine Auswirkungen bestätigt wurden, kann es sinnvoll sein, alle Okta-bezogenen Anmeldedaten für Ihr Unternehmen zu überprüfen, wenn die Auswirkungen solcher Aktivitäten im Vergleich zu den Auswirkungen des Missbrauchs dieser Anmeldedaten als gering eingeschätzt werden. In den meisten Fällen ist dies wahrscheinlich nicht gerechtfertigt, kann aber die Risikobereitschaft Ihrer Organisation übersteigen, dies nicht zu tun.
Verweise
[2] - https://twitter.com/_MG_/status/1506109152665382920/photo/1
[3] - https://www.wired.com/story/lapsus-hacking-group-extortion-nvidia-samsung/
[4] - https://help.okta.com/en/prod/Content/Topics/Reports/Reports_SysLog.htm
[5] - https://github.com/elastic/detection-rules/tree/main/rules/integrations/okta
[6] - https://github.com/SigmaHQ/sigma/tree/master/rules/cloud/okta