Identiteitsdienstverlener Okta heeft vrijdag een nieuw beveiligingsincident bekendgemaakt waardoor niet-geïdentificeerde bedreigingsactoren gestolen inloggegevens konden gebruiken om toegang te krijgen tot het ondersteuningsbeheersysteem.
“De dreigingsactor kon bestanden bekijken die door bepaalde Okta-klanten waren geüpload als onderdeel van recente ondersteuningsgevallen”, zegt David Bradbury, Chief Security Officer van Okta. “Opgemerkt moet worden dat het Okta-ondersteuningscasebeheersysteem gescheiden is van de productie-Okta-service, die volledig operationeel is en niet is beïnvloed.”
Het bedrijf benadrukte ook dat zijn Auth0/CIC-casemanagementsysteem niet werd getroffen door de inbreuk, en merkte op dat het klanten die getroffen zijn rechtstreeks op de hoogte heeft gebracht.
Er staat echter dat het klantenondersteuningssysteem ook wordt gebruikt om HTTP Archive (HAR)-bestanden te uploaden om eindgebruikers- of beheerdersfouten te repliceren voor probleemoplossingsdoeleinden.
“HAR-bestanden kunnen ook gevoelige gegevens bevatten, waaronder cookies en sessietokens, die kwaadwillende actoren kunnen gebruiken om zich voor te doen als geldige gebruikers”, waarschuwde Okta.
Het zei verder dat het met getroffen klanten heeft samengewerkt om ervoor te zorgen dat de ingebedde sessietokens werden ingetrokken om misbruik ervan te voorkomen.
Okta heeft de omvang van de aanval niet bekendgemaakt, wanneer het incident plaatsvond en wanneer de ongeoorloofde toegang werd gedetecteerd. Sinds maart 2023 heeft het meer dan 17.000 klanten en beheert het ongeveer 50 miljard gebruikers.
Dat gezegd hebbende, behoren BeyondTrust en Cloudflare tot de twee klanten die hebben bevestigd dat ze het doelwit waren van de laatste aanval op het ondersteuningssysteem.
“De bedreigingsacteur was in staat een sessietoken te kapen van een supportticket dat was aangemaakt door een medewerker van Cloudflare”, aldus Cloudflare. “Met behulp van het token dat uit Okta was gehaald, kreeg de bedreigingsacteur op 18 oktober toegang tot Cloudflare-systemen.”
Het webinfrastructuur- en beveiligingsbedrijf omschreef het als een geavanceerde aanval en zei dat de dreigingsactor achter de activiteit twee afzonderlijke Cloudflare-werknemersaccounts binnen het Okta-platform in gevaar had gebracht. Er werd ook gezegd dat er als gevolg van de gebeurtenis geen toegang was tot klantinformatie of -systemen.
BeyondTrust zei dat het Okta op 2 oktober 2023 op de hoogte had gesteld van de inbreuk, maar de aanval op Cloudflare suggereert dat de tegenstander ten minste tot 18 oktober 2023 toegang had tot hun ondersteuningssystemen.
Het bedrijf voor identiteitsbeheerdiensten zei dat de Okta-beheerder op 2 oktober een HAR-bestand naar het systeem had geüpload om een ondersteuningsprobleem op te lossen, en dat het binnen 30 minuten na het delen van het bestand verdachte activiteit met betrekking tot de sessiecookie had gedetecteerd. De pogingen tot aanvallen op BeyondTrust waren uiteindelijk niet succesvol.
“BeyondTrust heeft de aanval onmiddellijk gedetecteerd en verholpen via zijn eigen identiteitstools, Identity Security Insights, wat resulteerde in geen impact of blootstelling aan de infrastructuur van BeyondTrust of aan zijn klanten”, vertelde een woordvoerder van het bedrijf aan The Hacker News.
De ontwikkeling is de laatste in een lange lijst van beveiligingsongelukken waar Okta de afgelopen jaren last van heeft gehad. Het bedrijf is een waardevol doelwit geworden voor hackploegen vanwege het feit dat zijn single sign-on (SSO)-diensten worden gebruikt door enkele van de grootste bedrijven ter wereld.
Update:
In een verklaring gedeeld met The Hacker News zei een woordvoerder van Okta dat de inbreuk slechts ongeveer 1% van onze 18.400 klanten trof.
