Okta Security

Basic Information

Okta, Inc. inatambulika katika sekta ya usimamizi wa utambulisho na ufikiaji kwa ajili ya suluhisho zake za programu zinazotegemea wingu. Suluhisho hizi zimeundwa ili kuboresha na kulinda uthibitishaji wa watumiaji katika programu mbalimbali za kisasa. Zinahudumia si tu kampuni zinazolenga kulinda data zao nyeti bali pia waendelezaji wanaovutiwa na kuunganisha udhibiti wa utambulisho katika programu, huduma za mtandao, na vifaa.

Kutoa kuu kutoka Okta ni Okta Identity Cloud. Jukwaa hili linajumuisha seti ya bidhaa, ikiwa ni pamoja na lakini sio tu:

• Single Sign-On (SSO): Inarahisisha ufikiaji wa mtumiaji kwa kuruhusu seti moja ya akreditif za kuingia katika programu nyingi.

• Multi-Factor Authentication (MFA): Inaboresha usalama kwa kuhitaji aina nyingi za uthibitisho.

• Lifecycle Management: Inafanya mchakato wa kuunda, kuboresha, na kufuta akaunti za watumiaji kuwa wa kiotomatiki.

• Universal Directory: Inaruhusu usimamizi wa kati wa watumiaji, vikundi, na vifaa.

• API Access Management: Inalinda na kusimamia ufikiaji wa APIs.

Huduma hizi kwa pamoja zinakusudia kuimarisha ulinzi wa data na kuboresha ufikiaji wa watumiaji, kuimarisha usalama na urahisi. Uwezo wa suluhisho za Okta unafanya kuwa chaguo maarufu katika sekta mbalimbali, zikiwa na manufaa kwa makampuni makubwa, kampuni ndogo, na waendelezaji binafsi. Kufikia sasisho la mwisho mnamo Septemba 2021, Okta inatambuliwa kama chombo muhimu katika eneo la Usimamizi wa Utambulisho na Ufikiaji (IAM).

Summary

Kuna watumiaji (ambao wanaweza kuwa hifadhiwa katika Okta, kuingia kutoka kwa Watoa Utambulisho waliowekwa au kuthibitishwa kupitia Active Directory au LDAP). Watumiaji hawa wanaweza kuwa ndani ya vikundi. Kuna pia wauthenticators: chaguzi tofauti za kuthibitisha kama nywila, na 2FA kadhaa kama WebAuthn, barua pepe, simu, okta verify (zinaweza kuwa zimewezeshwa au kuzuiliwa)...

Kisha, kuna programu zinazohusishwa na Okta. Kila programu itakuwa na ramani na Okta ili kushiriki taarifa (kama anwani za barua pepe, majina ya kwanza...). Aidha, kila programu lazima iwe ndani ya Sera ya Uthibitishaji, ambayo inaonyesha wauthenticators zinazohitajika kwa mtumiaji ili kuingia kwenye programu.

Attacks

Locating Okta Portal

Kawaida lango la kampuni litakuwa katika companyname.okta.com. Ikiwa sivyo, jaribu mabadiliko rahisi ya companyname. Ikiwa huwezi kulipata, pia inawezekana kwamba shirika lina rekodi ya CNAME kama okta.companyname.com ikielekeza kwenye Okta portal.

Login in Okta via Kerberos

Ikiwa companyname.kerberos.okta.com inafanya kazi, Kerberos inatumika kwa ufikiaji wa Okta, kawaida ikiepuka MFA kwa watumiaji wa Windows. Ili kupata watumiaji wa Okta walioidhinishwa na Kerberos katika AD, endesha getST.py na parameta zinazofaa. Baada ya kupata tiketi ya mtumiaji wa AD, ingiza ndani ya mwenyeji unaodhibiti kwa kutumia zana kama Rubeus au Mimikatz, kuhakikisha clientname.kerberos.okta.com iko katika eneo la "Intranet" la Chaguzi za Mtandao. Kufikia URL maalum kunapaswa kurudisha jibu la JSON "OK", ikionyesha kukubaliwa kwa tiketi ya Kerberos, na kutoa ufikiaji wa dashibodi ya Okta.

Kudhoofisha akaunti ya huduma ya Okta na SPN ya uwakilishi inaruhusu shambulio la Silver Ticket. Hata hivyo, matumizi ya Okta ya AES kwa ajili ya usimbaji wa tiketi yanahitaji kuwa na ufunguo wa AES au nywila ya wazi. Tumia ticketer.py kuunda tiketi kwa mtumiaji wa mwathirika na uwasilishe kupitia kivinjari ili kuthibitisha na Okta.

Angalia shambulio katika https://trustedsec.com/blog/okta-for-red-teamers.

Hijacking Okta AD Agent

Teknolojia hii inahusisha kupata Okta AD Agent kwenye seva, ambayo inasawazisha watumiaji na kushughulikia uthibitishaji. Kwa kuchunguza na kusimbua mipangilio katika OktaAgentService.exe.config, hasa AgentToken kwa kutumia DPAPI, mshambuliaji anaweza kwa urahisi kukamata na kubadilisha data za uthibitishaji. Hii inaruhusu si tu kuangalia na kukamata akreditif za watumiaji katika maandiko wakati wa mchakato wa uthibitishaji wa Okta bali pia kujibu majaribio ya uthibitishaji, hivyo kuruhusu ufikiaji usioidhinishwa au kutoa uthibitishaji wa ulimwengu mzima kupitia Okta (kama funguo 'skeleton').

Angalia shambulio katika https://trustedsec.com/blog/okta-for-red-teamers.

Hijacking AD As an Admin

Teknolojia hii inahusisha kudhibiti Okta AD Agent kwa kwanza kupata OAuth Code, kisha kuomba token ya API. Token hiyo inahusishwa na domain ya AD, na kiunganishi kinaitwa kuanzisha wakala wa AD wa uwongo. Kuanzisha kunaruhusu wakala kushughulikia majaribio ya uthibitishaji, kukamata akreditif kupitia API ya Okta. Zana za kiotomatiki zinapatikana ili kurahisisha mchakato huu, zikitoa njia isiyo na mshono ya kukamata na kushughulikia data za uthibitishaji ndani ya mazingira ya Okta.

Angalia shambulio katika https://trustedsec.com/blog/okta-for-red-teamers.

Okta Fake SAML Provider

Angalia shambulio katika https://trustedsec.com/blog/okta-for-red-teamers.

Teknolojia hii inahusisha kuanzisha mtoa huduma wa SAML wa uwongo. Kwa kuunganisha Mtoa Utambulisho wa nje (IdP) ndani ya mfumo wa Okta kwa kutumia akaunti yenye mamlaka, washambuliaji wanaweza kudhibiti IdP, wakikubali ombi lolote la uthibitishaji kwa hiari. Mchakato huu unajumuisha kuanzisha IdP ya SAML 2.0 katika Okta, kubadilisha URL ya SSO ya IdP kwa ajili ya kuelekeza kupitia faili ya wenyeji wa ndani, kuunda cheti kilichojisajili mwenyewe, na kuunda mipangilio ya Okta ili kulinganisha na jina la mtumiaji au barua pepe. Kutekeleza hatua hizi kwa mafanikio kunaruhusu uthibitishaji kama mtumiaji yeyote wa Okta, bila kuhitaji akreditif za mtumiaji binafsi, na kuimarisha udhibiti wa ufikiaji kwa njia inayoweza kutokewa.

Phishing Okta Portal with Evilgnix

Katika hiki kipande cha blog inaelezwa jinsi ya kuandaa kampeni ya phishing dhidi ya lango la Okta.

Colleague Impersonation Attack

Sifa ambazo kila mtumiaji anaweza kuwa nazo na kubadilisha (kama barua pepe au jina la kwanza) zinaweza kuundwa katika Okta. Ikiwa programu inakubali kama ID sifa ambayo mtumiaji anaweza kubadilisha, ataweza kujifanya kuwa watumiaji wengine katika jukwaa hilo.

Hivyo, ikiwa programu inakubali uwanja userName, huenda usiweze kuubadilisha (kwa sababu huwezi kubadilisha uwanja huo), lakini ikiwa inakubali kwa mfano primaryEmail unaweza kuwa na uwezo wa kuubadilisha kuwa anwani ya barua pepe ya mwenzako na kujifanya (utahitaji kuwa na ufikiaji wa barua pepe na kukubali mabadiliko).

Kumbuka kwamba hii kujifanya inategemea jinsi kila programu ilivyoundwa. Ni zile tu zinazokubali uwanja uliohubadilishwa na kukubali masasisho zitakazodhuriwa. Hivyo, programu inapaswa kuwa na uwanja huu umewezeshwa ikiwa upo:

Nimeona pia programu nyingine ambazo zilikuwa na udhaifu lakini hazikuwa na uwanja huo katika mipangilio ya Okta (mwishowe programu tofauti zimeundwa tofauti).

Njia bora ya kujua ikiwa unaweza kujifanya kuwa mtu yeyote kwenye kila programu itakuwa kujaribu!

Evading behavioural detection policies

Sera za kugundua tabia katika Okta zinaweza kuwa hazijulikani hadi zipatikane, lakini kuziepuka kunaweza kufikiwa kwa kulenga programu za Okta moja kwa moja, kuepuka dashibodi kuu ya Okta. Kwa kutumia token ya ufikiaji wa Okta, rudia token hiyo kwenye URL maalum ya Okta badala ya ukurasa kuu wa kuingia.

Mapendekezo muhimu ni pamoja na:

• Epuka kutumia proxies maarufu za anonymizer na huduma za VPN unapofanya kurudiwa kwa token za ufikiaji zilizokamatwa.

• Hakikisha mifumo ya mtumiaji inayofanana kati ya mteja na token za ufikiaji zilizorejeshwa.

• Epuka kurudi token kutoka kwa watumiaji tofauti kutoka anwani moja ya IP.

• Fanya makini unapofanya kurudi token dhidi ya dashibodi ya Okta.

• Ikiwa unajua anwani za IP za kampuni ya mwathirika, punguza trafiki kwa hizo IP au safu yao, ukizuia trafiki nyingine zote.

Okta Hardening

Okta ina mipangilio mingi inayowezekana, katika ukurasa huu utaona jinsi ya kuzikagua ili ziwe salama kadri inavyowezekana:

References

• https://trustedsec.com/blog/okta-for-red-teamers

• https://medium.com/nickvangilder/okta-for-red-teamers-perimeter-edition-c60cb8d53f23