Le fournisseur en solutions de gestion des identités et des accès Okta a dernièrement indiqué que « des attaquants ont réussi à pénétrer dans son système de support en utilisant des identifiants volés et en extrayant des jetons de session client valides à partir de fichiers de support téléchargés ». Mais les politiques d'authentification multifactorielle (MFA) appliquées par l'un de ses clients ont permis de détecter l'accès non autorisé, de le bloquer et de signaler la violation à Okta. « Dans le cadre des activités normales, le support Okta demande aux clients de télécharger un fichier d'archive HTTP (HAR) qui aide à résoudre les problèmes en reproduisant l'activité du navigateur », a expliqué dans un billet de blog David Bradbury, responsable de la sécurité chez Okta. « Les fichiers HAR contiennent parfois des données sensibles, notamment des cookies et des jetons de session, que des acteurs malveillants peuvent utiliser pour se faire passer pour des utilisateurs valides », a-t-il ajouté. L'incident a été découvert par des ingénieurs en sécurité de BeyondTrust, un fournisseur de solutions de sécurité des identités et des accès, dont le compte administrateur Okta interne a été détourné. Les contrôles de politique mis en place par l'équipe de sécurité de l'entreprise ont bloqué une tentative d'authentification suspecte provenant d'une adresse IP en Malaisie.
L'attaquant invité à s'authentifier par MFA
Dans l'environnement Okta, la politique de BeyondTrust n'autorisait l'accès à la console d'administration Okta qu'à partir d'appareils gérés sur lesquels avait été installée Okta Verify, une application d'authentification multifactorielle développée par Okta. Dans le cadre de cette politique, l'attaquant a été invité à s'authentifier par MFA quand il a essayé d'accéder à la console d'administration, même si le jeton qu'il avait volé lui avait fourni une session valide. « Il est important que les clients d'Okta améliorent leurs politiques de sécurité en s’appuyant sur certains paramètres, par exemple, en invitant des utilisateurs avec des privilèges d’administration à s'authentifier par MFA à chaque connexion », a déclaré l'équipe de sécurité de BeyondTrust dans un bulletin. « Même si l'attaquant a détourné une session existante, Okta considère toujours l'accès au tableau de bord comme une nouvelle ouverture de session et demande l'autorisation d'ouvrir une session MFA. En outre, le compte administrateur de BeyondTrust a été configuré pour s'authentifier à l'aide d'un dispositif compatible avec la norme d'authentification sans mot de passe FIDO2 qui utilise la cryptographie à clé publique pour valider les utilisateurs, une option beaucoup plus sûre que les implémentations basées sur les SMS, vulnérables à des attaques basées sur l'échange de cartes SIM et d'autres techniques man-in-the-middle. Cette précaution a permis à BeyondTrust de comprendre rapidement que le vol du jeton de session n’avait pas eu lieu en interne et que Okta pouvait être à l’origine de la faille. De plus, l'authentification non autorisée s'est produite 30 minutes après que l'administrateur de BeyondTrust a téléchargé un fichier HAR vers le système de support d'Okta dans le cadre d’une demande de dépannage. Les fichiers HAR sont des enregistrements du navigateur utilisés par l'ingénieur du support pour reproduire les actions de l’utilisateur.
Des identifiants volés à l’origine de la faille
L'attaquant n'ayant pas réussi à accéder au tableau de bord d'administration d'Okta, il a décidé d'accéder au compte via l'API d'Okta de façon à créer un faux compte de service dénommé svc_network_backup. « Il est possible d’utiliser les cookies de session pour s'authentifier auprès de l'API officielle d'Okta qui, très souvent, ne sont pas soumis aux restrictions de politique qui s'appliquent à la console d'administration interactive », a mis en garde l'équipe de sécurité de BeyondTrust. « L'attaquant a agi rapidement, mais nos détections et nos réponses ont été immédiates, désactivant le compte et atténuant toute exposition potentielle ».
BeyondTrust a fait part de ses soupçons à Okta, qui a ensuite remonté la piste de la violation jusqu'aux identifiants volés qui donnaient l'accès nécessaire pour consulter les dossiers des clients dans les tickets d'assistance. Le fournisseur a indiqué qu'elle avait notifié tous les clients potentiellement concernés et révoqué tous les jetons de session intégrés dans les fichiers. Il conseille aux clients d’inspecter les cookies et les jetons de session des fichiers HAR avant de les télécharger et d'examiner les journaux de leur système Okta à la recherche de toute session suspecte. Dans son avis, l'entreprise fournit la liste des adresses IP utilisées par les attaquants pour accéder aux comptes des clients, associées en majorité à des services VPN commerciaux. Cloudflare, également touché par cet incident, a pu détecter et bloquer l'utilisation abusive de ses identifiants Okta avant que le fournisseur ne découvre la brèche. L'entreprise recommande vivement aux clients d'Okta de mettre en place un système MFA basé sur le matériel. « Les mots de passe seuls n'offrent pas le niveau de protection nécessaire contre les attaques », a indiqué Cloudflare dans son rapport. « Nous recommandons fortement l'utilisation de clés matérielles, car les autres méthodes de MFA peuvent être vulnérables aux attaques de phishing », a ajouté l’entreprise. « Il faut enquêter et répondre à tous les changements inattendus de mot de passe et de MFA de ses instances Okta et les événements suspects initiés par le support », a aussi conseillé Cloudflare. « Assurez-vous que toutes les réinitialisations de mot de passe sont valides et forcez une réinitialisation de mot de passe pour toute personne suspecte et assurez-vous que la configuration du compte de l'utilisateur ne contient que des clés MFA valides », a encore préconisé le fournisseur.