Okta Security

Basic Information

Okta, Inc. je prepoznata u sektoru upravljanja identitetom i pristupom zbog svojih rešenja zasnovanih na oblaku. Ova rešenja su dizajnirana da pojednostave i osiguraju autentifikaciju korisnika kroz različite moderne aplikacije. Ona su namenjena ne samo kompanijama koje žele da zaštite svoje osetljive podatke, već i programerima koji su zainteresovani za integraciju kontrola identiteta u aplikacije, veb usluge i uređaje.

Glavna ponuda Okta je Okta Identity Cloud. Ova platforma obuhvata paket proizvoda, uključujući, ali ne ograničavajući se na:

• Single Sign-On (SSO): Pojednostavljuje pristup korisnika omogućavajući jedan set prijavnih podataka za više aplikacija.

• Multi-Factor Authentication (MFA): Povećava sigurnost zahtevajući više oblika verifikacije.

• Lifecycle Management: Automatizuje procese kreiranja, ažuriranja i deaktivacije korisničkih naloga.

• Universal Directory: Omogućava centralizovano upravljanje korisnicima, grupama i uređajima.

• API Access Management: Osigurava i upravlja pristupom API-ima.

Ove usluge zajednički imaju za cilj jačanje zaštite podataka i pojednostavljenje pristupa korisnicima, poboljšavajući i sigurnost i pogodnost. Svestranost Okta rešenja čini ih popularnim izborom u različitim industrijama, korisnim za velike preduzeća, male kompanije i pojedinačne programere. Na poslednjem ažuriranju u septembru 2021. godine, Okta je priznata kao istaknuta entitet u oblasti upravljanja identitetom i pristupom (IAM).

Summary

Postoje korisnici (koji mogu biti smešteni u Okta, prijavljeni iz konfigurisanih Identity Providers ili autentifikovani putem Active Directory ili LDAP). Ovi korisnici mogu biti unutar grupa. Postoje i autentifikatori: različite opcije za autentifikaciju kao što su lozinka i nekoliko 2FA kao što su WebAuthn, email, telefon, okta verify (mogu biti omogućeni ili onemogućeni)...

Zatim, postoje aplikacije sinhronizovane sa Okta. Svaka aplikacija će imati neku mapu sa Okta za deljenje informacija (kao što su email adrese, imena...). Štaviše, svaka aplikacija mora biti unutar Authentication Policy, koja označava potrebne autentifikatore za korisnika da pristupi aplikaciji.

Attacks

Locating Okta Portal

Obično će portal kompanije biti lociran na companyname.okta.com. Ako ne, pokušajte jednostavne varijacije od companyname. Ako ne možete da ga pronađete, takođe je moguće da organizacija ima CNAME zapis kao okta.companyname.com koji upućuje na Okta portal.

Login in Okta via Kerberos

Ako je companyname.kerberos.okta.com aktivan, Kerberos se koristi za pristup Okta, obično zaobilazeći MFA za Windows korisnike. Da biste pronašli Kerberos-autentifikovane Okta korisnike u AD, pokrenite getST.py sa odgovarajućim parametrima. Nakon dobijanja AD korisničkog tiketa, ubacite ga u kontrolisani host koristeći alate kao što su Rubeus ili Mimikatz, osiguravajući da je clientname.kerberos.okta.com u "Intranet" zoni Internet opcija. Pristup određenom URL-u trebao bi da vrati JSON "OK" odgovor, što ukazuje na prihvatanje Kerberos tiketa i omogućava pristup Okta kontrolnoj tabli.

Kompromitovanje Okta servisnog naloga sa delegacijom SPN omogućava Silver Ticket napad. Međutim, korišćenje AES za enkripciju tiketa zahteva posedovanje AES ključa ili lozinke u običnom tekstu. Koristite ticketer.py da generišete tiket za žrtvovanog korisnika i isporučite ga putem pregledača za autentifikaciju sa Okta.

Proverite napad u https://trustedsec.com/blog/okta-for-red-teamers.

Hijacking Okta AD Agent

Ova tehnika uključuje pristupanje Okta AD Agent-u na serveru, koji sinhronizuje korisnike i upravlja autentifikacijom. Istraživanjem i dekripcijom konfiguracija u OktaAgentService.exe.config, posebno AgentToken koristeći DPAPI, napadač može potencijalno presresti i manipulisati podacima o autentifikaciji. Ovo omogućava ne samo praćenje i hvatanje korisničkih kredencijala u običnom tekstu tokom Okta procesa autentifikacije, već i odgovaranje na pokušaje autentifikacije, čime se omogućava neovlašćen pristup ili pružanje univerzalne autentifikacije kroz Okta (slično 'skeleton key').

Proverite napad u https://trustedsec.com/blog/okta-for-red-teamers.

Hijacking AD As an Admin

Ova tehnika uključuje otmicu Okta AD Agent-a prvo dobijanjem OAuth koda, a zatim zahtevom za API token. Token je povezan sa AD domenom, a konektor se imenuje da uspostavi lažni AD agent. Inicijalizacija omogućava agentu da obrađuje pokušaje autentifikacije, hvatajući kredencijale putem Okta API-ja. Alati za automatizaciju su dostupni za pojednostavljenje ovog procesa, nudeći besprekornu metodu za presretanje i rukovanje podacima o autentifikaciji unutar Okta okruženja.

Proverite napad u https://trustedsec.com/blog/okta-for-red-teamers.

Okta Fake SAML Provider

Proverite napad u https://trustedsec.com/blog/okta-for-red-teamers.

Tehnika uključuje implementaciju lažnog SAML provajdera. Integracijom spoljnog Identity Provider-a (IdP) unutar Okta okvira koristeći privilegovani nalog, napadači mogu kontrolisati IdP, odobravajući bilo koji zahtev za autentifikaciju po želji. Proces podrazumeva postavljanje SAML 2.0 IdP u Okta, manipulaciju IdP Single Sign-On URL-om za preusmeravanje putem lokalnog hosts fajla, generisanje samopotpisanog sertifikata i konfiguraciju Okta postavki da se podudaraju sa korisničkim imenom ili email-om. Uspešno izvršavanje ovih koraka omogućava autentifikaciju kao bilo koji Okta korisnik, zaobilazeći potrebu za pojedinačnim korisničkim kredencijalima, značajno povećavajući kontrolu pristupa na potencijalno neprimetan način.

Phishing Okta Portal with Evilgnix

U ovom blog postu objašnjeno je kako pripremiti phishing kampanju protiv Okta portala.

Colleague Impersonation Attack

atributi koje svaki korisnik može imati i modifikovati (kao što su email ili ime) mogu se konfigurisati u Okta. Ako je aplikacija verujuća kao ID atributu koji korisnik može modifikovati, on će moći da imitira druge korisnike na toj platformi.

Stoga, ako aplikacija veruje polju userName, verovatno nećete moći da ga promenite (jer obično ne možete promeniti to polje), ali ako veruje na primer primaryEmail možda ćete moći da promenite na email adresu kolege i imitirati ga (trebaće vam pristup email-u i da prihvatite promenu).

Napomena da ova imitacija zavisi od toga kako je svaka aplikacija konfigurisana. Samo one koje veruju polju koje ste modifikovali i prihvataju ažuriranja će biti kompromitovane. Stoga, aplikacija treba da ima ovo polje omogućeno ako postoji:

Takođe sam video druge aplikacije koje su bile ranjive, ali nisu imale to polje u Okta postavkama (na kraju, različite aplikacije su konfigurisane različito).

Najbolji način da saznate da li možete imitirati nekoga na svakoj aplikaciji bio bi da probate!

Evading behavioural detection policies

Policije detekcije ponašanja u Okta mogu biti nepoznate dok se ne susretnete s njima, ali zaobilaženje njih može se postići usmeravanjem direktno na Okta aplikacije, izbegavajući glavnu Okta kontrolnu tablu. Sa Okta pristupnim tokenom, ponovo upotrebite token na URL-u specifičnom za aplikaciju Okta umesto na glavnoj stranici za prijavu.

Ključne preporuke uključuju:

• Izbegavajte korišćenje popularnih anonimnih proksija i VPN usluga prilikom ponovnog korišćenja uhvaćenih pristupnih tokena.

• Osigurajte dosledne user-agent stringove između klijenta i ponovo korišćenih pristupnih tokena.

• Izbegavajte ponovo korišćenje tokena od različitih korisnika sa iste IP adrese.

• Budite oprezni prilikom ponovnog korišćenja tokena protiv Okta kontrolne table.

• Ako ste svesni IP adresa kompanije žrtve, ograničite saobraćaj na te IP adrese ili njihov opseg, blokirajući sav ostali saobraćaj.

Okta Hardening

Okta ima mnogo mogućih konfiguracija, na ovoj stranici ćete pronaći kako da ih pregledate kako bi bile što sigurnije:

References

• https://trustedsec.com/blog/okta-for-red-teamers

• https://medium.com/nickvangilder/okta-for-red-teamers-perimeter-edition-c60cb8d53f23