Peretas Mencuri Token Akses dari Unit Dukungan Okta
(krebsonsecurity.com)- Akibat pembobolan sistem dukungan pelanggan Okta, file yang diunggah sebagian pelanggan ke kasus dukungan terekspos, dan penyerang tampaknya memiliki akses ke platform dukungan selama setidaknya 2 minggu sebelum diblokir
- Penyerang masuk ke sistem manajemen kasus dukungan menggunakan kredensial yang dicuri, dan dapat melihat file HAR yang dikirim pelanggan untuk pemecahan masalah
- File HAR dapat berisi cookie dan token sesi, sehingga jika dicuri ada risiko penyerang dapat menggunakan kembali sesi seolah-olah sebagai pengguna yang sah
- BeyondTrust mendeteksi upaya pembuatan akun administrator di lingkungan Okta miliknya pada 2 Oktober, dan 30 menit sebelumnya telah membagikan file HAR berisi token sesi Okta yang valid kepada Okta
- Okta memberi tahu sekitar 170 pelanggan, sekitar 1% dari lebih dari 18.000 pelanggannya; 1Password dan Cloudflare juga mengungkap bahwa platform autentikasi Okta mereka terdampak, tetapi menyatakan tidak ada dampak pada informasi pelanggan maupun sistem
File pelanggan yang terekspos di sistem manajemen kasus dukungan
- Okta adalah perusahaan yang menyediakan alat identitas termasuk autentikasi multifaktor dan single sign-on kepada ribuan perusahaan, dan insiden ini bermula dari pembobolan unit dukungan pelanggan
- Dalam pemberitahuan yang dikirim kepada sebagian pelanggan pada 19 Oktober, Okta menyatakan bahwa kredensial yang dicuri digunakan untuk mengakses sistem manajemen kasus dukungan
- Penyerang dapat melihat file yang baru-baru ini diunggah oleh sebagian pelanggan Okta ke kasus dukungan
- Cakupan dampaknya awalnya digambarkan sebagai “jumlah yang sangat kecil”, dan kemudian dikonfirmasi bahwa pemberitahuan dikirim kepada sekitar 170 pelanggan, sekitar 1% dari basis pelanggan Okta
Mengapa file HAR menjadi berbahaya
- Saat menyelesaikan masalah pelanggan, Okta terkadang meminta file HTTP Archive(HAR), yaitu rekaman sesi peramban web
- File HAR bersifat sensitif karena dapat berisi cookie pelanggan dan token sesi
- Penyerang dapat menyamar sebagai pengguna yang sah menggunakan cookie atau token di dalam file
- Okta bekerja sama dengan pelanggan yang terdampak untuk melakukan investigasi dan mengambil langkah perlindungan, termasuk mencabut token sesi bawaan
- Sebelum membagikan file HAR, semua kredensial, cookie, dan token sesi harus dihapus
Alur serangan yang ditangkap BeyondTrust
- Perusahaan keamanan BeyondTrust adalah salah satu pelanggan yang menerima pemberitahuan Okta pada 19 Oktober
- CTO BeyondTrust Marc Maiffret mengatakan pemberitahuan tersebut tiba lebih dari 2 minggu setelah BeyondTrust memberi tahu Okta tentang potensi masalah
- Pada 2 Oktober, tim keamanan BeyondTrust mendeteksi seseorang mencoba membuat akun administrator dengan privilese tinggi di lingkungan Okta mereka menggunakan akun Okta yang ditetapkan untuk salah satu insinyur perusahaan
- Setelah meninjau aktivitas akun karyawan tersebut, ditemukan bahwa 30 menit sebelum aktivitas tidak sah itu, seorang insinyur dukungan telah membagikan file HAR berisi token sesi Okta yang valid kepada Okta atas permintaan Okta
- Penyerang mencoba melakukan pembajakan sesi menggunakan cookie dalam riwayat peramban dan bertindak atas nama pengguna tersebut
- BeyondTrust memberi tahu Okta pada 3 Oktober bahwa Okta kemungkinan besar mengalami pembobolan, dan menyampaikan penilaian yang sama dalam panggilan pada 11 Oktober dan 13 Oktober
- BeyondTrust menyatakan bahwa mereka mendeteksi serangan saat sedang berlangsung, dan pelanggan mereka tidak terdampak
Respons Okta dan pertanyaan yang tersisa
- Deputy CISO Okta Charlotte Wylie mengatakan bahwa pemberitahuan BeyondTrust pada 2 Oktober awalnya tidak dianggap sebagai hasil dari pembobolan sistem Okta
- Hingga 17 Oktober, Okta telah mengidentifikasi dan memblokir insiden tersebut, menonaktifkan akun manajemen kasus pelanggan yang dibobol, serta membatalkan token akses Okta terkait
- Wylie tidak mengungkap jumlah pasti pelanggan yang menerima pemberitahuan potensi masalah keamanan, tetapi menggambarkannya sebagai “sebagian yang sangat, sangat kecil” dari lebih dari 18.000 pelanggan
- Berapa lama penyusup memiliki akses ke akun manajemen kasus perusahaan, dan siapa pihak di balik serangan tersebut, tidak diungkapkan
- Wylie menyatakan bahwa penyerang kali ini adalah aktor ancaman yang dikenal pernah menargetkan Okta dan pelanggan tertentu Okta
Pembobolan terkait dan pengungkapan lanjutan
- Pengungkapan Okta muncul beberapa minggu setelah peretasan Caesar’s Entertainment dan MGM Resorts
- Dalam insiden di dua perusahaan kasino tersebut, penyerang menggunakan rekayasa sosial terhadap karyawan untuk mereset persyaratan login autentikasi multifaktor akun administrator Okta
- Pada Maret 2022, Okta mengungkap pembobolan terkait kelompok peretas LAPSUS$ yang berspesialisasi dalam serangan rekayasa sosial
- Menurut laporan pascainsiden Okta, LAPSUS$ memperoleh akses melalui rekayasa sosial ke workstation insinyur dukungan Sitel, vendor outsourcing pihak ketiga yang memiliki hak akses ke sumber daya Okta
- Okta kemudian menerbitkan artikel blog terkait insiden dan menyertakan indikator kompromi agar pelanggan dapat memeriksa apakah mereka terdampak
- Okta menyatakan telah memberi tahu semua pelanggan yang terdampak
- Okta menekankan bahwa lingkungan atau tiket dukungan pelanggan Okta yang tidak menerima kontak terpisah tidak terdampak
- BeyondTrust juga mengungkap hasil investigasinya sendiri
- Dalam pembaruan pada 24 Oktober, 1Password dan Cloudflare mengungkap bahwa platform autentikasi Okta mereka terdampak akibat pembobolan Okta
- Kedua perusahaan menyatakan bahwa hasil investigasi menunjukkan informasi pelanggan maupun sistem tidak terdampak
- Juru bicara Okta mengatakan kepada TechCrunch bahwa Okta telah memberi tahu sekitar 1% dari basis pelanggannya, yakni sekitar 170 pelanggan
1 komentar
Komentar di Hacker News
Bagian lucu dari artikel ini adalah Okta diberi tahu oleh pihak ketiga tentang aktivitas tenant yang mencurigakan, awalnya tidak menemukan bukti kompromi, lalu baru menyelidiki ulang dan mengonfirmasi kompromi setelah BeyondTrust terus mendesak.
Okta mengunggah posting blog di sini: https://sec.okta.com/harfiles
Kalimat pembukanya adalah “Okta Security has identified adversarial activity”, tetapi tidak ada penyebutan soal pemberitahuan dari pihak ketiga. Transparansi yang bagus ya
Judulnya buruk, tidak transparan, dan tidak langsung ke inti. Sangat payah Okta bahkan tidak menyebutkan fakta bahwa BeyondTrust memberi tahu mereka pada 2 Oktober, 30 menit setelah mengunggah file HAR ke Okta Support
“Wakil CISO Okta, Charlotte Wylie, mengatakan Okta awalnya menganggap peringatan BeyondTrust pada 2 Oktober bukan hasil dari kompromi sistem mereka. Namun ia mengatakan pada 17 Oktober perusahaan telah mengidentifikasi dan memblokir insiden tersebut”
Artinya, sebuah perusahaan yang mengklaim sebagai pakar keamanan siber dan autentikasi diberi tahu dalam 30 menit bahwa mereka diretas, lalu perusahaan itu mengatakan pemberitahuan tersebut salah dan selama 15 hari tidak mengakuinya sementara penyerang berkeliaran bebas.
Wylie, harusnya bisa lebih baik
Lihat saja posting blog yang ditautkan di artikel asli ini. Sebuah perusahaan keamanan yang merupakan salah satu pelanggan Okta mendeteksi aktivitas mencurigakan di jaringannya sendiri tepat setelah membagikan file HAR dengan Okta, lalu memberi tahu Okta tentang kompromi tersebut.
https://www.beyondtrust.com/blog/entry/okta-support-unit-bre...
Mungkin itu cara rumit untuk mengatakan bahwa setelah login IP-nya berubah. Tentu saja solusi termudah adalah tidak secara sukarela membagikan file HAR dari sesi yang aktif
Mungkin ini tidak populer, tetapi menurut saya gerbang inti SSO dengan OAuth, SAML, dan 2FA seharusnya dijalankan on-premise, bukan menekan “tombol mudah” SaaS.
Ini mencakup bukan hanya Okta, tetapi juga Auth0 (diakuisisi Okta), Authy, dan Duo
Semua perangkat lunak punya bug keamanan, dan perangkat lunak on-premise tidak terkecuali. Banyak organisasi TI tidak punya keahlian untuk mengoperasikan dan melindungi direktori. Ini bukan sekadar memasang software, membuat beberapa akun, lalu menaruhnya di pojok; ini pekerjaan yang sangat sulit yang mencakup disaster recovery, pengujian backup, hingga menentukan apakah telah terjadi kompromi.
Tidak ada yang membuktikan bahwa keamanan TI on-premise lebih baik daripada keamanan penyedia cloud. Di antara departemen TI on-premise yang pernah saya lihat sendiri, ada yang keamanannya sangat buruk: ada yang menjalankan VPN dengan sertifikat MD5 bahkan antara 2010–2020, ada yang menerapkan layanan web tempat pengguna tanpa autentikasi bisa mengakses informasi pribadi seperti nomor jaminan sosial/nomor pajak, alamat, nama, dan nomor telepon, ada yang memberikan editor teks berbasis iklan kepada perawat untuk menulis catatan pasien, ada yang tidak memperbarui versi Redcap yang sudah end-of-support dan punya bug keamanan yang diketahui, dan lain-lain.
Sejauh yang saya tahu, Redcap adalah perangkat lunak yang menyimpan informasi yang digunakan untuk riset medis dan perhitungan statistik kesehatan masyarakat, jadi banyak datanya sensitif.
Intinya, memindahkan dari cloud ke on-premise bisa saja meningkatkan keamanan, bisa juga tidak. Itu bergantung pada kemampuan organisasi TI masing-masing, dan banyak organisasi tidak mampu mengoperasikan layanan identitas seperti Okta. Selain itu, penyedia cloud biasanya punya anggaran yang jauh lebih besar dan dapat menyebarkan biaya ke banyak pelanggan, sehingga bisa berinvestasi lebih banyak pada pakar keamanan, perlindungan sistem, dan deteksi kompromi
Manajer dan eksekutif seperti itu tidak mendapat pertanyaan apa pun
Anda benar-benar bisa menulis dan menguji perangkat lunak di sistem yang sama sekali tidak pernah terhubung. Mengejutkan, tapi benar
Tempat seperti penyedia identitas, pengelola kata sandi, dan perusahaan VPN sama sekali tidak boleh diretas. Mereka adalah perusahaan yang menghasilkan uang dari produk keamanan, dan saya tidak akan memakai layanan yang pernah dibobol. Besar kemungkinan ada masalah yang lebih mendalam
Asumsi dasarnya adalah semuanya bisa dibobol, dan beban pembuktian bahwa mereka tidak akan dibobol ada pada mereka. Alih-alih memberi praduga baik kepada pihak yang berulang kali menunjukkan ketidakmampuan, tampaknya lebih bijak menunggu bukti positif yang mendukung klaim luar biasa bahwa mereka tidak bisa diretas
Jika mereka cukup kompeten dan bertanggung jawab, mereka akan mendeteksi dan mengungkapkannya, tetapi sepertinya kebanyakan tidak akan begitu. Karena orang-orang seperti Anda akan langsung berhenti menggunakannya. Jadi siapa pun yang sedikit saja khawatir sebaiknya memakai alternatif offline, self-hosted, atau buatan sendiri
Tantangan Okta tidak diretas selama sebulan: tingkat kesulitan mustahil
Selain bercanda, Okta terlihat seperti suka dibobol. Saya berharap akan ada perubahan jika harga sahamnya terus turun karena insiden seperti ini, tetapi sepertinya tidak
Iblis ada pada detailnya. Mungkin mereka beroperasi dengan zero trust
Di satu sisi, ini bukan pembobolan produk inti. Di sisi lain, setiap pembobolan produk inti selalu disertai pembobolan tidak langsung pada bagian non-inti
Syukurlah mereka diizinkan mengakuisisi pesaingnya, Auth0
Suatu hari nanti, dalam presentasi konferensi, saya akan melakukan eksperimen: membayar orang untuk masuk ke posisi dukungan di beberapa perusahaan, lalu membobol perusahaan-perusahaan itu dengan hak akses sistem yang diberikan kepada mereka
Di bagian bawah email tertulis seperti ini
“Informasi ini adalah informasi rahasia Okta dan tidak boleh dibagikan ke luar organisasi Anda”
Jujur saja, ini cukup lucu