Okta Security
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Okta, Inc. jest uznawana w sektorze zarządzania tożsamością i dostępem za swoje oparte na chmurze rozwiązania programowe. Rozwiązania te mają na celu uproszczenie i zabezpieczenie uwierzytelniania użytkowników w różnych nowoczesnych aplikacjach. Są skierowane nie tylko do firm dążących do ochrony swoich wrażliwych danych, ale także do programistów zainteresowanych integracją kontroli tożsamości w aplikacjach, usługach internetowych i urządzeniach.
Flagowym produktem Okta jest Okta Identity Cloud. Ta platforma obejmuje zestaw produktów, w tym, ale nie tylko:
Single Sign-On (SSO): Uproszcza dostęp użytkowników, pozwalając na użycie jednego zestawu danych logowania w wielu aplikacjach.
Multi-Factor Authentication (MFA): Zwiększa bezpieczeństwo, wymagając wielu form weryfikacji.
Zarządzanie cyklem życia: Automatyzuje procesy tworzenia, aktualizacji i dezaktywacji kont użytkowników.
Universal Directory: Umożliwia centralne zarządzanie użytkownikami, grupami i urządzeniami.
Zarządzanie dostępem do API: Zabezpiecza i zarządza dostępem do API.
Usługi te mają na celu wzmocnienie ochrony danych i uproszczenie dostępu użytkowników, zwiększając zarówno bezpieczeństwo, jak i wygodę. Wszechstronność rozwiązań Okta sprawia, że są one popularnym wyborem w różnych branżach, korzystają z nich zarówno duże przedsiębiorstwa, małe firmy, jak i indywidualni programiści. Na ostatnią aktualizację w wrześniu 2021 roku, Okta jest uznawana za znaczącą jednostkę w obszarze zarządzania tożsamością i dostępem (IAM).
Głównym celem Okta jest skonfigurowanie dostępu do różnych użytkowników i grup do zewnętrznych aplikacji. Jeśli uda ci się skompromentować uprawnienia administratora w środowisku Okta, prawdopodobnie będziesz w stanie skompromentować wszystkie inne platformy, z których korzysta firma.
Aby przeprowadzić przegląd bezpieczeństwa środowiska Okta, powinieneś poprosić o dostęp tylko do odczytu dla administratora.
Są użytkownicy (którzy mogą być przechowywani w Okta, logowani z skonfigurowanych Dostawców Tożsamości lub uwierzytelniani za pomocą Active Directory lub LDAP). Ci użytkownicy mogą być w grupach. Są także uwierzytelnienia: różne opcje uwierzytelniania, takie jak hasło oraz kilka 2FA, takich jak WebAuthn, e-mail, telefon, okta verify (mogą być włączone lub wyłączone)...
Następnie są aplikacje zsynchronizowane z Okta. Każda aplikacja będzie miała jakieś mapowanie z Okta do dzielenia się informacjami (takimi jak adresy e-mail, imiona...). Ponadto każda aplikacja musi być częścią Polityki Uwierzytelniania, która wskazuje potrzebne uwierzytelnienia dla użytkownika, aby uzyskać dostęp do aplikacji.
Najpotężniejszą rolą jest Super Administrator.
Jeśli atakujący skompromituje Okta z dostępem administratora, wszystkie aplikacje ufające Okta będą prawdopodobnie skompromentowane.
Zazwyczaj portal firmy będzie znajdował się pod adresem companyname.okta.com. Jeśli nie, spróbuj prostych wariantów companyname. Jeśli nie możesz go znaleźć, możliwe, że organizacja ma rekord CNAME taki jak okta.companyname.com wskazujący na portal Okta.
Jeśli companyname.kerberos.okta.com jest aktywne, Kerberos jest używany do dostępu do Okta, zazwyczaj omijając MFA dla użytkowników Windows. Aby znaleźć użytkowników Okta uwierzytelnionych za pomocą Kerberos w AD, uruchom getST.py z odpowiednimi parametrami. Po uzyskaniu biletu użytkownika AD, wstrzyknij go do kontrolowanego hosta za pomocą narzędzi takich jak Rubeus lub Mimikatz, upewniając się, że clientname.kerberos.okta.com jest w strefie "Intranet" w Opcjach Internetowych. Uzyskanie dostępu do konkretnego URL powinno zwrócić odpowiedź JSON "OK", co wskazuje na akceptację biletu Kerberos i przyznanie dostępu do pulpitu nawigacyjnego Okta.
Skompromitowanie konta usługi Okta z delegacją SPN umożliwia atak Silver Ticket. Jednak użycie przez Okta AES do szyfrowania biletów wymaga posiadania klucza AES lub hasła w postaci jawnej. Użyj ticketer.py, aby wygenerować bilet dla użytkownika ofiary i dostarczyć go za pośrednictwem przeglądarki do uwierzytelnienia w Okta.
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Ta technika polega na dostępie do agenta AD Okta na serwerze, który synchronizuje użytkowników i obsługuje uwierzytelnianie. Poprzez badanie i deszyfrowanie konfiguracji w OktaAgentService.exe.config, szczególnie tokenu agenta przy użyciu DPAPI, atakujący może potencjalnie przechwycić i manipulować danymi uwierzytelniającymi. Umożliwia to nie tylko monitorowanie i przechwytywanie danych uwierzytelniających użytkowników w postaci jawnej podczas procesu uwierzytelniania Okta, ale także reagowanie na próby uwierzytelnienia, co umożliwia nieautoryzowany dostęp lub zapewnia uniwersalne uwierzytelnienie przez Okta (podobnie jak 'klucz uniwersalny').
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Ta technika polega na przejęciu agenta AD Okta poprzez najpierw uzyskanie kodu OAuth, a następnie żądanie tokenu API. Token jest powiązany z domeną AD, a konektor jest nazwany, aby ustanowić fałszywego agenta AD. Inicjalizacja pozwala agentowi na przetwarzanie prób uwierzytelnienia, przechwytując dane uwierzytelniające za pośrednictwem API Okta. Narzędzia automatyzacyjne są dostępne, aby uprościć ten proces, oferując płynny sposób na przechwytywanie i obsługę danych uwierzytelniających w środowisku Okta.
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Technika ta polega na wdrożeniu fałszywego dostawcy SAML. Poprzez integrację zewnętrznego Dostawcy Tożsamości (IdP) w ramach Okta przy użyciu uprzywilejowanego konta, atakujący mogą kontrolować IdP, zatwierdzając dowolne żądanie uwierzytelnienia według uznania. Proces ten obejmuje skonfigurowanie IdP SAML 2.0 w Okta, manipulację URL SSO IdP w celu przekierowania za pomocą lokalnego pliku hosts, wygenerowanie certyfikatu samopodpisanego oraz skonfigurowanie ustawień Okta, aby pasowały do nazwy użytkownika lub adresu e-mail. Pomyślne wykonanie tych kroków pozwala na uwierzytelnienie jako dowolny użytkownik Okta, omijając potrzebę posiadania indywidualnych danych logowania użytkownika, co znacznie podnosi kontrolę dostępu w sposób, który może pozostać niezauważony.
W tym wpisie na blogu wyjaśniono, jak przygotować kampanię phishingową przeciwko portalowi Okta.
Atrybuty, które każdy użytkownik może mieć i modyfikować (takie jak e-mail lub imię) mogą być skonfigurowane w Okta. Jeśli aplikacja ufa jako ID atrybutowi, który użytkownik może modyfikować, będzie mógł naśladować innych użytkowników na tej platformie.
Dlatego, jeśli aplikacja ufa polu userName, prawdopodobnie nie będziesz mógł go zmienić (ponieważ zazwyczaj nie można zmienić tego pola), ale jeśli ufa na przykład primaryEmail, możesz być w stanie zmienić go na adres e-mail kolegi i go naśladować (musisz mieć dostęp do e-maila i zaakceptować zmianę).
Zauważ, że to naśladowanie zależy od tego, jak każda aplikacja została skonfigurowana. Tylko te, które ufają polu, które zmodyfikowałeś i akceptują aktualizacje, będą skompromitowane. Dlatego aplikacja powinna mieć to pole włączone, jeśli istnieje:
Widziałem także inne aplikacje, które były podatne, ale nie miały tego pola w ustawieniach Okta (na końcu różne aplikacje są konfigurowane inaczej).
Najlepszym sposobem, aby dowiedzieć się, czy możesz naśladować kogokolwiek w każdej aplikacji, byłoby spróbować!
Polityki wykrywania behawioralnego w Okta mogą być nieznane do momentu ich napotkania, ale omijanie ich można osiągnąć poprzez bezpośrednie celowanie w aplikacje Okta, unikając głównego pulpitu nawigacyjnego Okta. Z tokenem dostępu Okta, odtwórz token na specyficznym URL aplikacji Okta zamiast na głównej stronie logowania.
Kluczowe zalecenia obejmują:
Unikaj używania popularnych proxy anonimizujących i usług VPN podczas odtwarzania przechwyconych tokenów dostępu.
Upewnij się, że ciąg user-agent jest spójny między klientem a odtwarzanymi tokenami dostępu.
Powstrzymaj się od odtwarzania tokenów od różnych użytkowników z tego samego adresu IP.
Zachowaj ostrożność podczas odtwarzania tokenów przeciwko pulpitowi nawigacyjnemu Okta.
Jeśli znasz adresy IP firmy ofiary, ogranicz ruch do tych adresów IP lub ich zakresu, blokując cały inny ruch.
Okta ma wiele możliwych konfiguracji, na tej stronie znajdziesz, jak je przeglądać, aby były jak najbezpieczniejsze:
Okta HardeningUcz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
