Okta Security
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Okta, Inc. визнана в секторі управління ідентичністю та доступом за своїми хмарними програмними рішеннями. Ці рішення призначені для спрощення та забезпечення аутентифікації користувачів у різних сучасних додатках. Вони призначені не лише для компаній, які прагнуть захистити свої чутливі дані, але й для розробників, які зацікавлені в інтеграції контролю ідентичності в додатки, веб-сервіси та пристрої.
Флагманською пропозицією Okta є Okta Identity Cloud. Ця платформа охоплює набір продуктів, включаючи, але не обмежуючись:
Single Sign-On (SSO): Спрощує доступ користувачів, дозволяючи використовувати один набір облікових даних для входу в кілька додатків.
Multi-Factor Authentication (MFA): Підвищує безпеку, вимагаючи кілька форм перевірки.
Lifecycle Management: Автоматизує процеси створення, оновлення та деактивації облікових записів користувачів.
Universal Directory: Дозволяє централізоване управління користувачами, групами та пристроями.
API Access Management: Захищає та управляє доступом до API.
Ці послуги колективно спрямовані на зміцнення захисту даних та спрощення доступу користувачів, підвищуючи як безпеку, так і зручність. Універсальність рішень Okta робить їх популярним вибором у різних галузях, корисним для великих підприємств, малих компаній та окремих розробників. Станом на останнє оновлення у вересні 2021 року, Okta визнана провідною компанією в сфері управління ідентичністю та доступом (IAM).
Основна мета Okta полягає в налаштуванні доступу для різних користувачів та груп до зовнішніх додатків. Якщо вам вдасться компрометувати адміністративні привілеї в середовищі Oktas, ви, ймовірно, зможете компрометувати всі інші платформи, які використовує компанія.
Щоб провести огляд безпеки середовища Okta, вам слід запитати доступ адміністратора лише для читання.
Є користувачі (які можуть бути збережені в Okta, увійшли з налаштованих постачальників ідентичності або аутентифіковані через Active Directory або LDAP). Ці користувачі можуть бути в групах. Є також аутентифікатори: різні варіанти аутентифікації, такі як пароль, та кілька 2FA, такі як WebAuthn, електронна пошта, телефон, okta verify (вони можуть бути увімкнені або вимкнені)...
Потім є додатки, синхронізовані з Okta. Кожен додаток матиме певне відображення з Okta для обміну інформацією (такою як адреси електронної пошти, імена...). Більше того, кожен додаток повинен бути в Політиці аутентифікації, яка вказує на необхідні аутентифікатори для користувача, щоб отримати доступ до додатка.
Найбільш потужна роль - Super Administrator.
Якщо зловмисник компрометує Okta з доступом адміністратора, всі додатки, що довіряють Okta, ймовірно, будуть компрометовані.
Зазвичай портал компанії буде розташований за адресою companyname.okta.com. Якщо ні, спробуйте прості варіації companyname. Якщо ви не можете його знайти, також можливо, що організація має запис CNAME на кшталт okta.companyname.com
, що вказує на Okta портал.
Якщо companyname.kerberos.okta.com
активний, Kerberos використовується для доступу до Okta, зазвичай обходячи MFA для Windows користувачів. Щоб знайти користувачів Okta, аутентифікованих за допомогою Kerberos в AD, запустіть getST.py
з відповідними параметрами. Отримавши квиток користувача AD, впровадьте його в контрольований хост, використовуючи такі інструменти, як Rubeus або Mimikatz, переконавшись, що clientname.kerberos.okta.com
знаходиться в зоні "Інтранет" в параметрах Інтернету. Доступ до конкретного URL-адреси повинен повернути JSON-відповідь "OK", що вказує на прийняття квитка Kerberos і надаючи доступ до панелі управління Okta.
Компрометація облікового запису служби Okta з делегованим SPN дозволяє провести атаку Silver Ticket. Однак використання Okta AES для шифрування квитків вимагає наявності ключа AES або пароля у відкритому вигляді. Використовуйте ticketer.py
, щоб згенерувати квиток для жертви та доставити його через браузер для аутентифікації в Okta.
Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.
Ця техніка передбачає доступ до Okta AD Agent на сервері, який синхронізує користувачів і обробляє аутентифікацію. Перевіряючи та розшифровуючи конфігурації в OktaAgentService.exe.config
, зокрема AgentToken, використовуючи DPAPI, зловмисник може потенційно перехопити та маніпулювати даними аутентифікації. Це дозволяє не лише моніторити та захоплювати облікові дані користувачів у відкритому вигляді під час процесу аутентифікації Okta, але й відповідати на спроби аутентифікації, що дозволяє несанкціонований доступ або надає універсальну аутентифікацію через Okta (аналогічно "скелетному ключу").
Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.
Ця техніка передбачає захоплення Okta AD Agent, спочатку отримавши OAuth Code, а потім запитуючи API токен. Токен пов'язаний з доменом AD, а конектор називається для створення фальшивого AD агента. Ініціалізація дозволяє агенту обробляти спроби аутентифікації, захоплюючи облікові дані через API Okta. Доступні автоматизаційні інструменти для спрощення цього процесу, пропонуючи безперешкодний метод перехоплення та обробки даних аутентифікації в середовищі Okta.
Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.
Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.
Техніка передбачає впровадження фальшивого SAML постачальника. Інтегруючи зовнішнього постачальника ідентичності (IdP) в рамках Okta за допомогою привілейованого облікового запису, зловмисники можуть контролювати IdP, затверджуючи будь-який запит на аутентифікацію на свій розсуд. Процес передбачає налаштування SAML 2.0 IdP в Okta, маніпулювання URL-адресою одноразового входу IdP для перенаправлення через локальний файл hosts, генерацію самопідписаного сертифіката та налаштування параметрів Okta для відповідності імені користувача або електронній пошті. Успішне виконання цих кроків дозволяє аутентифікуватися як будь-який користувач Okta, обходячи необхідність унікальних облікових даних користувача, значно підвищуючи контроль доступу в потенційно непомітний спосіб.
У цьому блозі пояснюється, як підготувати фішинг-кампанію проти порталу Okta.
атрибути, які може мати та змінювати кожен користувач (такі як електронна пошта або ім'я) можуть бути налаштовані в Okta. Якщо додаток довіряє як ID атрибуту, який користувач може змінити, він зможе вдаватись за інших користувачів на цій платформі.
Отже, якщо додаток довіряє полю userName
, ви, ймовірно, не зможете його змінити (оскільки зазвичай не можна змінити це поле), але якщо він довіряє, наприклад, primaryEmail
, ви можете змінити його на електронну адресу колеги та вдаватися за нього (вам потрібно буде мати доступ до електронної пошти та прийняти зміну).
Зверніть увагу, що це вдавання залежить від того, як був налаштований кожен додаток. Тільки ті, що довіряють полю, яке ви змінили, і приймають оновлення, будуть скомпрометовані. Отже, додаток повинен мати це поле увімкненим, якщо воно існує:
Я також бачив інші додатки, які були вразливими, але не мали цього поля в налаштуваннях Okta (в кінці кінців різні додатки налаштовуються по-різному).
Найкращий спосіб дізнатися, чи можете ви вдаватися за когось у кожному додатку, - це спробувати це!
Політики виявлення поведінки в Okta можуть бути невідомими до їх зустрічі, але обхід їх можна досягти, націлюючи на додатки Okta безпосередньо, уникаючи основної панелі управління Okta. З токеном доступу Okta повторіть токен на URL-адресі конкретного додатка Okta замість основної сторінки входу.
Ключові рекомендації включають:
Уникайте використання популярних анонімізуючих проксі та VPN-сервісів при повторному використанні захоплених токенів доступу.
Переконайтеся, що рядки user-agent між клієнтом і повторно використаними токенами доступу є послідовними.
Уникайте повторного використання токенів від різних користувачів з однієї IP-адреси.
Будьте обережні при повторному використанні токенів проти панелі управління Okta.
Якщо ви знаєте IP-адреси компанії жертви, обмежте трафік до цих IP або їх діапазону, блокуючи весь інший трафік.
Okta має багато можливих конфігурацій, на цій сторінці ви знайдете, як їх переглянути, щоб вони були максимально безпечними:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)