Okta Security
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Okta, Inc. inatambuliwa katika sekta ya usimamizi wa utambulisho na ufikiaji kwa ajili ya suluhisho zake za programu zinazotegemea wingu. Suluhisho hizi zimeundwa ili kuboresha na kulinda uthibitishaji wa watumiaji katika programu mbalimbali za kisasa. Zinahudumia si tu kampuni zinazolenga kulinda data zao nyeti bali pia waendelezaji wanaovutiwa na kuunganisha udhibiti wa utambulisho katika programu, huduma za mtandao, na vifaa.
Kutoa kuu kutoka Okta ni Okta Identity Cloud. Jukwaa hili linajumuisha seti ya bidhaa, ikiwa ni pamoja na lakini sio tu:
Single Sign-On (SSO): Inarahisisha ufikiaji wa mtumiaji kwa kuruhusu seti moja ya akisi za kuingia katika programu nyingi.
Multi-Factor Authentication (MFA): Inaboresha usalama kwa kuhitaji aina nyingi za uthibitisho.
Lifecycle Management: Inafanya mchakato wa kuunda, kuboresha, na kufuta akaunti za watumiaji kuwa wa kiotomatiki.
Universal Directory: Inaruhusu usimamizi wa kati wa watumiaji, vikundi, na vifaa.
API Access Management: Inalinda na kusimamia ufikiaji wa APIs.
Huduma hizi kwa pamoja zinakusudia kuimarisha ulinzi wa data na kuboresha ufikiaji wa watumiaji, kuimarisha usalama na urahisi. Uwezo wa suluhisho za Okta unafanya kuwa chaguo maarufu katika sekta mbalimbali, zikiwa na manufaa kwa makampuni makubwa, kampuni ndogo, na waendelezaji binafsi. Kufikia sasisho la mwisho mnamo Septemba 2021, Okta inatambuliwa kama chombo muhimu katika eneo la Usimamizi wa Utambulisho na Ufikiaji (IAM).
Lengo kuu la Okta ni kuunda ufikiaji kwa watumiaji na vikundi tofauti kwa programu za nje. Ikiwa utaweza kudhoofisha haki za msimamizi katika mazingira ya Oktas, kuna uwezekano mkubwa wa kudhoofisha majukwaa mengine yote ambayo kampuni inatumia.
Ili kufanya ukaguzi wa usalama wa mazingira ya Okta unapaswa kuomba ufikiaji wa msimamizi wa kusoma tu.
Kuna watumiaji (ambao wanaweza kuwa hifadhiwa katika Okta, kuingia kutoka kwa Watoa Utambulisho waliowekwa au kuthibitishwa kupitia Active Directory au LDAP). Watumiaji hawa wanaweza kuwa ndani ya vikundi. Kuna pia wauthentikishaji: chaguzi tofauti za kuthibitisha kama nywila, na 2FA kadhaa kama WebAuthn, barua pepe, simu, okta verify (zinaweza kuwa zimewezeshwa au kuzuiliwa)...
Kisha, kuna programu zinazohusishwa na Okta. Kila programu itakuwa na ramani na Okta ili kushiriki taarifa (kama anwani za barua pepe, majina ya kwanza...). Aidha, kila programu lazima iwe ndani ya Sera ya Uthibitishaji, ambayo inaonyesha wauthentikishaji wanaohitajika kwa mtumiaji ili kuingia kwenye programu.
Jukumu lenye nguvu zaidi ni Super Administrator.
Ikiwa mshambuliaji atakudhoofisha Okta kwa ufikiaji wa Msimamizi, programu zote zinazoamini Okta zitakuwa na uwezekano mkubwa wa kudhoofishwa.
Kawaida, lango la kampuni litakuwa katika companyname.okta.com. Ikiwa sivyo, jaribu mabadiliko rahisi ya companyname. Ikiwa huwezi kulipata, pia inawezekana kwamba shirika lina rekodi ya CNAME kama okta.companyname.com ikielekeza kwenye Okta portal.
Ikiwa companyname.kerberos.okta.com inafanya kazi, Kerberos inatumika kwa ufikiaji wa Okta, kawaida ikiepuka MFA kwa watumiaji wa Windows. Ili kupata watumiaji wa Okta walioidhinishwa na Kerberos katika AD, endesha getST.py na parameta zinazofaa. Baada ya kupata tiketi ya mtumiaji wa AD, ingiza kwenye mwenyeji unaodhibitiwa kwa kutumia zana kama Rubeus au Mimikatz, kuhakikisha clientname.kerberos.okta.com iko katika eneo la "Intranet" la Chaguzi za Mtandao. Kufikia URL maalum kunapaswa kurudisha jibu la JSON "OK", ikionyesha kukubaliwa kwa tiketi ya Kerberos, na kutoa ufikiaji wa dashibodi ya Okta.
Kudhoofisha akaunti ya huduma ya Okta na SPN ya uwakilishi inaruhusu shambulio la Silver Ticket. Hata hivyo, matumizi ya Okta ya AES kwa ajili ya usimbaji wa tiketi yanahitaji kuwa na ufunguo wa AES au nywila ya wazi. Tumia ticketer.py kutengeneza tiketi kwa mtumiaji wa mwathirika na uwasilishe kupitia kivinjari ili kuthibitisha na Okta.
Check the attack in https://trustedsec.com/blog/okta-for-red-teamers.
Teknolojia hii inahusisha kupata Okta AD Agent kwenye seva, ambayo inasawazisha watumiaji na kushughulikia uthibitishaji. Kwa kuchunguza na kufichua mipangilio katika OktaAgentService.exe.config, hasa AgentToken kwa kutumia DPAPI, mshambuliaji anaweza kwa urahisi kukamata na kubadilisha data za uthibitishaji. Hii inaruhusu si tu kuangalia na kukamata akisi za mtumiaji katika maandiko wakati wa mchakato wa uthibitishaji wa Okta bali pia kujibu majaribio ya uthibitishaji, hivyo kuruhusu ufikiaji usioidhinishwa au kutoa uthibitishaji wa ulimwengu mzima kupitia Okta (kama funguo 'skeleton').
Check the attack in https://trustedsec.com/blog/okta-for-red-teamers.
Teknolojia hii inahusisha kudhibiti Okta AD Agent kwa kwanza kupata OAuth Code, kisha kuomba token ya API. Token hiyo inahusishwa na eneo la AD, na kiunganishi kinaitwa kuanzisha wakala wa AD wa uwongo. Kuanzisha kunaruhusu wakala kushughulikia majaribio ya uthibitishaji, kukamata akisi kupitia API ya Okta. Zana za kiotomatiki zinapatikana ili kurahisisha mchakato huu, zikitoa njia isiyo na mshono ya kukamata na kushughulikia data za uthibitishaji ndani ya mazingira ya Okta.
Check the attack in https://trustedsec.com/blog/okta-for-red-teamers.
Check the attack in https://trustedsec.com/blog/okta-for-red-teamers.
Teknolojia hii inahusisha kuanzisha mtoa huduma wa SAML wa uwongo. Kwa kuunganisha Mtoa Utambulisho wa nje (IdP) ndani ya mfumo wa Okta kwa kutumia akaunti yenye mamlaka, washambuliaji wanaweza kudhibiti IdP, wakikubali ombi lolote la uthibitishaji kwa hiari. Mchakato huu unajumuisha kuanzisha IdP ya SAML 2.0 katika Okta, kubadilisha URL ya SSO ya IdP kwa ajili ya kuelekeza kupitia faili ya wenyeji wa ndani, kutengeneza cheti kilichojisajili, na kuunda mipangilio ya Okta ili kuendana na jina la mtumiaji au barua pepe. Kutekeleza hatua hizi kwa mafanikio kunaruhusu uthibitishaji kama mtumiaji yeyote wa Okta, bila kuhitaji akisi za mtumiaji binafsi, na kuimarisha udhibiti wa ufikiaji kwa njia inayoweza kutokewa.
Katika hiki kipande cha blog kinaelezewa jinsi ya kuandaa kampeni ya uvuvi dhidi ya lango la Okta.
sifa ambazo kila mtumiaji anaweza kuwa nazo na kubadilisha (kama barua pepe au jina la kwanza) zinaweza kuundwa katika Okta. Ikiwa programu inakubali kama ID sifa ambayo mtumiaji anaweza kubadilisha, ataweza kujifanya kuwa watumiaji wengine katika jukwaa hilo.
Hivyo, ikiwa programu inakubali uwanja userName, huenda usiweze kuubadilisha (kwa sababu huwezi kubadilisha uwanja huo), lakini ikiwa inakubali kwa mfano primaryEmail unaweza kuweza kuubadilisha kuwa anwani ya barua pepe ya mwenzako na kujifanya (utahitaji kuwa na ufikiaji wa barua pepe na kukubali mabadiliko).
Kumbuka kwamba hii kujifanya inategemea jinsi kila programu ilivyoundwa. Ni zile zinazokubali uwanja uliohubadilishwa na kukubali masasisho zitakuwa na hatari. Hivyo, programu inapaswa kuwa na uwanja huu umewezeshwa ikiwa upo:
Nimeona pia programu nyingine ambazo zilikuwa na hatari lakini hazikuwa na uwanja huo katika mipangilio ya Okta (mwishowe programu tofauti zimeundwa tofauti).
Njia bora ya kujua ikiwa unaweza kujifanya kuwa mtu yeyote kwenye kila programu itakuwa kujaribu!
Sera za kugundua tabia katika Okta zinaweza kuwa hazijulikani hadi zipatikane, lakini kuziepuka kunaweza kufanywa kwa kulenga programu za Okta moja kwa moja, kuepuka dashibodi kuu ya Okta. Kwa kutumia token ya ufikiaji wa Okta, rudia token hiyo kwenye URL maalum ya Okta badala ya ukurasa kuu wa kuingia.
Mapendekezo muhimu ni pamoja na:
Epuka kutumia proxies maarufu za kujificha na huduma za VPN wakati wa kurudia token za ufikiaji zilizokamatwa.
Hakikisha nyuzi za mtumiaji zinazofanana kati ya mteja na token za ufikiaji zilizorudiwa.
Epuka kurudia token kutoka kwa watumiaji tofauti kutoka anwani moja ya IP.
Fanya makini unapofanya kurudiwa kwa token dhidi ya dashibodi ya Okta.
Ikiwa unajua anwani za IP za kampuni ya mwathirika, punguza trafiki kwa hizo IP au safu yao, ukizuia trafiki nyingine zote.
Okta ina mipangilio mingi inayowezekana, katika ukurasa huu utapata jinsi ya kuzikagua ili ziwe salama kadri inavyowezekana:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
