Okta Security
Podstawowe informacje
Okta, Inc. jest uznawana w sektorze zarządzania tożsamością i dostępem za swoje oparte na chmurze rozwiązania programowe. Rozwiązania te mają na celu uproszczenie i zabezpieczenie uwierzytelniania użytkowników w różnych nowoczesnych aplikacjach. Są skierowane nie tylko do firm dążących do ochrony swoich wrażliwych danych, ale także do programistów zainteresowanych integracją kontroli tożsamości w aplikacjach, usługach internetowych i urządzeniach.
Flagowym produktem Okta jest Okta Identity Cloud. Ta platforma obejmuje zestaw produktów, w tym, ale nie tylko:
Single Sign-On (SSO): Uproszcza dostęp użytkowników, pozwalając na użycie jednego zestawu danych logowania w wielu aplikacjach.
Multi-Factor Authentication (MFA): Zwiększa bezpieczeństwo, wymagając wielu form weryfikacji.
Zarządzanie cyklem życia: Automatyzuje procesy tworzenia, aktualizacji i dezaktywacji kont użytkowników.
Universal Directory: Umożliwia centralne zarządzanie użytkownikami, grupami i urządzeniami.
Zarządzanie dostępem do API: Zabezpiecza i zarządza dostępem do API.
Usługi te mają na celu wzmocnienie ochrony danych i uproszczenie dostępu użytkowników, zwiększając zarówno bezpieczeństwo, jak i wygodę. Wszechstronność rozwiązań Okta sprawia, że są one popularnym wyborem w różnych branżach, korzystnym zarówno dla dużych przedsiębiorstw, małych firm, jak i indywidualnych programistów. Na ostatnią aktualizację w wrześniu 2021 roku, Okta jest uznawana za znaczącą jednostkę w obszarze zarządzania tożsamością i dostępem (IAM).
Głównym celem Okta jest skonfigurowanie dostępu dla różnych użytkowników i grup do zewnętrznych aplikacji. Jeśli uda ci się skompromentować uprawnienia administratora w środowisku Okta, prawdopodobnie będziesz w stanie skompromentować wszystkie inne platformy, z których korzysta firma.
Aby przeprowadzić przegląd bezpieczeństwa środowiska Okta, powinieneś poprosić o dostęp tylko do odczytu dla administratora.
Podsumowanie
Są użytkownicy (którzy mogą być przechowywani w Okta, logowani z skonfigurowanych Dostawców Tożsamości lub uwierzytelniani za pomocą Active Directory lub LDAP). Ci użytkownicy mogą być w grupach. Są także uwierzytelnienia: różne opcje uwierzytelniania, takie jak hasło i kilka 2FA, jak WebAuthn, e-mail, telefon, okta verify (mogą być włączone lub wyłączone)...
Następnie są aplikacje synchronizowane z Okta. Każda aplikacja będzie miała jakieś mapowanie z Okta do dzielenia się informacjami (takimi jak adresy e-mail, imiona...). Ponadto każda aplikacja musi być w Polityce Uwierzytelniania, która wskazuje potrzebne uwierzytelnienia dla użytkownika, aby uzyskać dostęp do aplikacji.
Najpotężniejszą rolą jest Super Administrator.
Jeśli atakujący skompromituje Okta z dostępem administratora, wszystkie aplikacje ufające Okta będą prawdopodobnie skompromentowane.
Ataki
Lokalizacja portalu Okta
Zazwyczaj portal firmy będzie znajdował się pod adresem companyname.okta.com. Jeśli nie, spróbuj prostych wariantów companyname. Jeśli nie możesz go znaleźć, możliwe, że organizacja ma rekord CNAME jak okta.companyname.com wskazujący na portal Okta.
Logowanie do Okta za pomocą Kerberos
Jeśli companyname.kerberos.okta.com jest aktywne, Kerberos jest używany do dostępu do Okta, zazwyczaj omijając MFA dla użytkowników Windows. Aby znaleźć użytkowników Okta uwierzytelnionych za pomocą Kerberos w AD, uruchom getST.py z odpowiednimi parametrami. Po uzyskaniu biletu użytkownika AD, wstrzyknij go do kontrolowanego hosta za pomocą narzędzi takich jak Rubeus lub Mimikatz, upewniając się, że clientname.kerberos.okta.com jest w strefie "Intranet" w Opcjach Internetowych. Uzyskanie dostępu do konkretnego URL powinno zwrócić odpowiedź JSON "OK", co wskazuje na akceptację biletu Kerberos i przyznanie dostępu do pulpitu nawigacyjnego Okta.
Skompromitowanie konta usługi Okta z delegacją SPN umożliwia atak Silver Ticket. Jednak użycie przez Okta AES do szyfrowania biletów wymaga posiadania klucza AES lub hasła w postaci jawnej. Użyj ticketer.py, aby wygenerować bilet dla użytkownika ofiary i dostarczyć go za pośrednictwem przeglądarki do uwierzytelnienia w Okta.
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Przejęcie agenta AD Okta
Technika ta polega na dostępie do agenta AD Okta na serwerze, który synchronizuje użytkowników i obsługuje uwierzytelnianie. Poprzez badanie i deszyfrowanie konfiguracji w OktaAgentService.exe.config, szczególnie AgentToken przy użyciu DPAPI, atakujący może potencjalnie przechwycić i manipulować danymi uwierzytelniającymi. Umożliwia to nie tylko monitorowanie i przechwytywanie danych logowania w postaci jawnej podczas procesu uwierzytelniania Okta, ale także reagowanie na próby uwierzytelnienia, co umożliwia nieautoryzowany dostęp lub zapewnia uniwersalne uwierzytelnienie przez Okta (podobnie jak 'klucz uniwersalny').
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Przejęcie AD jako administrator
Technika ta polega na przejęciu agenta AD Okta poprzez najpierw uzyskanie kodu OAuth, a następnie żądanie tokena API. Token jest powiązany z domeną AD, a konektor jest nazwany, aby ustanowić fałszywego agenta AD. Inicjalizacja pozwala agentowi na przetwarzanie prób uwierzytelnienia, przechwytując dane logowania za pośrednictwem API Okta. Narzędzia automatyzacyjne są dostępne, aby uprościć ten proces, oferując płynny sposób na przechwytywanie i obsługę danych uwierzytelniających w środowisku Okta.
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Fałszywy dostawca SAML Okta
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Technika ta polega na wdrożeniu fałszywego dostawcy SAML. Poprzez integrację zewnętrznego Dostawcy Tożsamości (IdP) w ramach Okta przy użyciu uprzywilejowanego konta, atakujący mogą kontrolować IdP, zatwierdzając dowolne żądanie uwierzytelnienia według uznania. Proces ten obejmuje skonfigurowanie IdP SAML 2.0 w Okta, manipulację URL SSO IdP w celu przekierowania przez lokalny plik hosts, generowanie certyfikatu samopodpisanego oraz konfigurowanie ustawień Okta, aby pasowały do nazwy użytkownika lub adresu e-mail. Pomyślne wykonanie tych kroków pozwala na uwierzytelnienie jako dowolny użytkownik Okta, omijając potrzebę posiadania indywidualnych danych logowania użytkownika, co znacznie podnosi kontrolę dostępu w sposób, który może pozostać niezauważony.
Atak na portal Okta za pomocą Evilgnix
W tym wpisie na blogu wyjaśniono, jak przygotować kampanię phishingową przeciwko portalowi Okta.
Atak naśladownictwa kolegi
Atrybuty, które każdy użytkownik może mieć i modyfikować (takie jak e-mail lub imię) mogą być skonfigurowane w Okta. Jeśli aplikacja ufa jako ID atrybutowi, który użytkownik może modyfikować, będzie mógł naśladować innych użytkowników na tej platformie.
Dlatego, jeśli aplikacja ufa polu userName, prawdopodobnie nie będziesz w stanie go zmienić (ponieważ zazwyczaj nie można zmienić tego pola), ale jeśli ufa na przykład primaryEmail, możesz być w stanie zmienić go na adres e-mail kolegi i go naśladować (musisz mieć dostęp do e-maila i zaakceptować zmianę).
Zauważ, że to naśladowanie zależy od tego, jak każda aplikacja została skonfigurowana. Tylko te, które ufają polu, które zmodyfikowałeś i akceptują aktualizacje, będą skompromitowane. Dlatego aplikacja powinna mieć to pole włączone, jeśli istnieje:
Widziałem także inne aplikacje, które były podatne, ale nie miały tego pola w ustawieniach Okta (na końcu różne aplikacje są konfigurowane inaczej).
Najlepszym sposobem, aby dowiedzieć się, czy możesz naśladować kogokolwiek w każdej aplikacji, byłoby spróbować!
Omijanie polityk wykrywania behawioralnego
Polityki wykrywania behawioralnego w Okta mogą być nieznane do momentu ich napotkania, ale omijanie ich można osiągnąć poprzez bezpośrednie celowanie w aplikacje Okta, unikając głównego pulpitu nawigacyjnego Okta. Z tokenem dostępu Okta powtórz token na specyficznym URL aplikacji Okta zamiast na głównej stronie logowania.
Kluczowe zalecenia obejmują:
Unikaj używania popularnych proxy anonimizujących i usług VPN podczas powtarzania przechwyconych tokenów dostępu.
Upewnij się, że ciąg user-agent jest spójny między klientem a powtórzonymi tokenami dostępu.
Powstrzymaj się od powtarzania tokenów od różnych użytkowników z tego samego adresu IP.
Zachowaj ostrożność podczas powtarzania tokenów przeciwko pulpitowi nawigacyjnemu Okta.
Jeśli znasz adresy IP firmy ofiary, ogranicz ruch do tych adresów IP lub ich zakresu, blokując cały inny ruch.
Wzmacnianie Okta
Okta ma wiele możliwych konfiguracji, na tej stronie znajdziesz, jak je przeglądać, aby były jak najbezpieczniejsze:
Okta HardeningOdniesienia
Last updated
