Okta Security
Last updated
Last updated
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Okta, Inc. kimlik ve erişim yönetimi sektöründe bulut tabanlı yazılım çözümleri ile tanınmaktadır. Bu çözümler, çeşitli modern uygulamalar arasında kullanıcı kimlik doğrulamasını kolaylaştırmak ve güvence altına almak için tasarlanmıştır. Hem hassas verilerini korumak isteyen şirketlere hem de kimlik kontrollerini uygulamalara, web hizmetlerine ve cihazlara entegre etmekle ilgilenen geliştiricilere hitap etmektedir.
Okta'nın amiral gemisi ürünü Okta Identity Cloud'dır. Bu platform, aşağıdakiler de dahil olmak üzere bir dizi ürünü kapsamaktadır:
Tek Oturum Açma (SSO): Birden fazla uygulama arasında tek bir oturum açma kimlik bilgisi seti ile kullanıcı erişimini basitleştirir.
Çok Faktörlü Kimlik Doğrulama (MFA): Birden fazla doğrulama biçimi gerektirerek güvenliği artırır.
Yaşam Döngüsü Yönetimi: Kullanıcı hesaplarının oluşturulması, güncellenmesi ve devre dışı bırakılması süreçlerini otomatikleştirir.
Evrensel Dizin: Kullanıcıların, grupların ve cihazların merkezi yönetimini sağlar.
API Erişim Yönetimi: API'lere erişimi güvence altına alır ve yönetir.
Bu hizmetler, veri korumasını güçlendirmeyi ve kullanıcı erişimini kolaylaştırmayı amaçlamaktadır, böylece hem güvenliği hem de rahatlığı artırmaktadır. Okta'nın çözümlerinin çok yönlülüğü, onları çeşitli endüstrilerde popüler bir seçim haline getirmekte, büyük işletmelere, küçük şirketlere ve bireysel geliştiricilere fayda sağlamaktadır. Eylül 2021'deki son güncelleme itibarıyla, Okta Kimlik ve Erişim Yönetimi (IAM) alanında önde gelen bir varlık olarak kabul edilmektedir.
Okta'nın ana hedefi, farklı kullanıcılar ve gruplar için dış uygulamalara erişimi yapılandırmaktır. Eğer bir Okta ortamında yönetici ayrıcalıklarını ele geçirirseniz, şirketin kullandığı diğer tüm platformları da ele geçirme olasılığınız yüksek olacaktır.
Bir Okta ortamının güvenlik incelemesini gerçekleştirmek için yönetici yalnızca okuma erişimi talep etmelisiniz.
Kullanıcılar vardır (bunlar Okta'da saklanabilir, yapılandırılmış Kimlik Sağlayıcılarından oturum açabilir veya Active Directory veya LDAP aracılığıyla kimlik doğrulaması yapılabilir). Bu kullanıcılar gruplar içinde olabilir. Ayrıca kimlik doğrulayıcılar vardır: şifre gibi kimlik doğrulama için farklı seçenekler ve WebAuthn, e-posta, telefon, okta doğrulama gibi çeşitli 2FA (bunlar etkinleştirilebilir veya devre dışı bırakılabilir)...
Daha sonra, Okta ile senkronize edilmiş uygulamalar vardır. Her uygulama, bilgi paylaşmak için Okta ile bazı eşleştirmelere sahip olacaktır (örneğin e-posta adresleri, adlar...). Ayrıca, her uygulama bir Kimlik Doğrulama Politikası içinde olmalıdır; bu, bir kullanıcının uygulamaya erişmesi için gereken kimlik doğrulayıcıları belirtir.
En güçlü rol Süper Yöneticidir.
Eğer bir saldırgan Okta'yı Yönetici erişimi ile ele geçirirse, Okta'ya güvenen tüm uygulamalar büyük olasılıkla ele geçirilmiş olacaktır.
Genellikle bir şirketin portalı companyname.okta.com adresinde bulunur. Eğer bulamazsanız, companyname. için basit varyasyonlar deneyin. Eğer bulamazsanız, organizasyonun Okta portalına işaret eden CNAME kaydı gibi okta.companyname.com olma ihtimali de vardır.
Eğer companyname.kerberos.okta.com aktifse, Kerberos Okta erişimi için kullanılır, genellikle MFA'yı Windows kullanıcıları için atlayarak. AD'de Kerberos ile kimlik doğrulaması yapılmış Okta kullanıcılarını bulmak için getST.py'yi uygun parametrelerle çalıştırın. AD kullanıcı bileti elde ettikten sonra, bunu kontrol edilen bir ana bilgisayara Rubeus veya Mimikatz gibi araçlar kullanarak enjekte edin, clientname.kerberos.okta.com'un Internet Seçenekleri "İntranet" alanında olduğundan emin olun. Belirli bir URL'ye erişmek, Kerberos biletinin kabul edildiğini gösteren bir JSON "OK" yanıtı döndürmeli ve Okta panosuna erişim sağlamalıdır.
Okta hizmet hesabını delegasyon SPN ile ele geçirmek, bir Silver Ticket saldırısını mümkün kılar. Ancak, Okta'nın bilet şifrelemesi için AES kullanması, AES anahtarına veya düz metin şifreye sahip olmayı gerektirir. ticketer.py'yi kullanarak kurban kullanıcı için bir bilet oluşturun ve bunu tarayıcı aracılığıyla Okta ile kimlik doğrulamak için iletin.
Saldırıyı kontrol edin https://trustedsec.com/blog/okta-for-red-teamers.
Bu teknik, kullanıcıları senkronize eden ve kimlik doğrulamasını yöneten bir sunucudaki Okta AD Ajanına erişmeyi içerir. OktaAgentService.exe.config içindeki yapılandırmaları inceleyerek ve şifrelerini çözerek, özellikle DPAPI kullanarak, bir saldırgan kimlik doğrulama verilerini yakalayabilir ve manipüle edebilir. Bu, yalnızca Okta kimlik doğrulama sürecinde kullanıcı kimlik bilgilerini düz metin olarak izleme ve yakalama sağlamakla kalmaz, aynı zamanda kimlik doğrulama girişimlerine yanıt verme yeteneği de sağlar; böylece yetkisiz erişim sağlanabilir veya Okta aracılığıyla evrensel kimlik doğrulama sağlanabilir (bir 'skeleton key' gibi).
Saldırıyı kontrol edin https://trustedsec.com/blog/okta-for-red-teamers.
Bu teknik, önce bir OAuth Kodu elde ederek bir Okta AD Ajanını ele geçirmeyi içerir, ardından bir API token'ı talep edilir. Token, bir AD alanı ile ilişkilidir ve sahte bir AD ajanı oluşturmak için bir bağlantı adı verilir. Başlatma, ajanın kimlik doğrulama girişimlerini işlemesine izin verir ve Okta API'si aracılığıyla kimlik bilgilerini yakalar. Bu süreci kolaylaştırmak için otomasyon araçları mevcuttur; bu da Okta ortamında kimlik doğrulama verilerini yakalamak ve işlemek için sorunsuz bir yöntem sunar.
Saldırıyı kontrol edin https://trustedsec.com/blog/okta-for-red-teamers.
Saldırıyı kontrol edin https://trustedsec.com/blog/okta-for-red-teamers.
Bu teknik, sahte bir SAML sağlayıcısı dağıtmayı içerir. Yetkili bir hesap kullanarak Okta'nın çerçevesine bir dış Kimlik Sağlayıcısı (IdP) entegre ederek, saldırganlar IdP'yi kontrol edebilir ve istedikleri zaman herhangi bir kimlik doğrulama talebini onaylayabilir. Süreç, Okta'da bir SAML 2.0 IdP kurmayı, yerel ana bilgisayar dosyası aracılığıyla yönlendirme için IdP Tek Oturum Açma URL'sini manipüle etmeyi, kendinden imzalı bir sertifika oluşturmayı ve Okta ayarlarını kullanıcı adı veya e-posta ile eşleşecek şekilde yapılandırmayı içerir. Bu adımları başarıyla uygulamak, herhangi bir Okta kullanıcısı olarak kimlik doğrulama sağlamayı mümkün kılar; bu da bireysel kullanıcı kimlik bilgilerine ihtiyaç duymadan erişim kontrolünü önemli ölçüde artırır.
bu blog yazısında bir Okta portalına karşı bir phishing kampanyası hazırlamanın nasıl yapılacağı açıklanmaktadır.
Her kullanıcının sahip olabileceği ve değiştirebileceği nitelikler (örneğin e-posta veya ad) Okta'da yapılandırılabilir. Eğer bir uygulama, bir kullanıcının değiştirebileceği bir nitelik olarak güveniyorsa, o platformda diğer kullanıcıları taklit etme yeteneğine sahip olacaktır.
Bu nedenle, eğer uygulama userName alanına güveniyorsa, muhtemelen bunu değiştiremeyeceksiniz (çünkü genellikle bu alanı değiştiremezsiniz), ancak eğer örneğin primaryEmail alanına güveniyorsa, bunu bir meslektaşın e-posta adresine değiştirme olanağına sahip olabilirsiniz (e-postaya erişiminiz olmalı ve değişikliği kabul etmelisiniz).
Bu taklit etme, her uygulamanın nasıl yapılandırıldığına bağlıdır. Sadece değiştirdiğiniz alana güvenen ve güncellemeleri kabul edenler ele geçirilecektir. Bu nedenle, uygulamanın bu alanı etkinleştirmiş olması gerekir:
Ayrıca, Okta ayarlarında bu alanı bulundurmayan ancak savunmasız olan diğer uygulamaları da gördüm (sonuçta farklı uygulamalar farklı şekilde yapılandırılmıştır).
Her uygulamada birini taklit edip edemeyeceğinizi öğrenmenin en iyi yolu bunu denemektir!
Okta'daki davranışsal tespit politikaları, karşılaşılana kadar bilinmeyebilir, ancak bunları doğrudan Okta uygulamalarını hedef alarak atlatmak mümkündür; böylece ana Okta panosundan kaçınılır. Bir Okta erişim token'ı ile, token'ı ana giriş sayfası yerine uygulama özel Okta URL'sinde yeniden oynatın.
Anahtar öneriler şunlardır:
Popüler anonimleştirici proxy'leri ve VPN hizmetlerini kullanmaktan kaçının.
İstemci ile yeniden oynatılan erişim token'ları arasında tutarlı kullanıcı ajanı dizgeleri olduğundan emin olun.
Aynı IP adresinden farklı kullanıcılardan token'ları yeniden oynatmaktan kaçının.
Okta panosuna karşı token'ları yeniden oynatırken dikkatli olun.
Kurban şirketin IP adreslerini biliyorsanız, trafikleri bu IP'lere veya aralıklarına kısıtlayın, diğer tüm trafiği engelleyin.
Okta'nın birçok olası yapılandırması vardır, bu sayfada bunları mümkün olduğunca güvenli hale getirmek için nasıl gözden geçireceğinizi bulacaksınız:
Okta HardeningAWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
