Okta Security

Basic Information

Okta, Inc. визнана в секторі управління ідентичністю та доступом за своїми хмарними програмними рішеннями. Ці рішення призначені для спрощення та забезпечення автентифікації користувачів у різних сучасних додатках. Вони орієнтовані не лише на компанії, які прагнуть захистити свої чутливі дані, але й на розробників, які зацікавлені в інтеграції контролю ідентичності в додатки, веб-сервіси та пристрої.

Флагманським продуктом Okta є Okta Identity Cloud. Ця платформа охоплює набір продуктів, включаючи, але не обмежуючись:

• Single Sign-On (SSO): Спрощує доступ користувачів, дозволяючи використовувати один набір облікових даних для кількох додатків.

• Multi-Factor Authentication (MFA): Підвищує безпеку, вимагаючи кілька форм перевірки.

• Lifecycle Management: Автоматизує процеси створення, оновлення та деактивації облікових записів користувачів.

• Universal Directory: Дозволяє централізоване управління користувачами, групами та пристроями.

• API Access Management: Захищає та управляє доступом до API.

Ці послуги колективно спрямовані на зміцнення захисту даних та спрощення доступу користувачів, підвищуючи як безпеку, так і зручність. Універсальність рішень Okta робить їх популярним вибором у різних галузях, корисним для великих підприємств, малих компаній та окремих розробників. Станом на останнє оновлення у вересні 2021 року, Okta визнана провідною компанією в сфері управління ідентичністю та доступом (IAM).

Summary

Є користувачі (які можуть бути збережені в Okta, увійшли з налаштованих постачальників ідентичності або автентифіковані через Active Directory або LDAP). Ці користувачі можуть бути в групах. Є також аутентифікатори: різні варіанти автентифікації, такі як пароль, та кілька 2FA, таких як WebAuthn, електронна пошта, телефон, okta verify (вони можуть бути увімкнені або вимкнені)...

Потім є додатки, синхронізовані з Okta. Кожен додаток матиме певне відображення з Okta для обміну інформацією (такою як адреси електронної пошти, імена...). Більше того, кожен додаток повинен бути в Політиці автентифікації, яка вказує на необхідні аутентифікатори для користувача, щоб отримати доступ до додатка.

Attacks

Locating Okta Portal

Зазвичай портал компанії буде розташований за адресою companyname.okta.com. Якщо ні, спробуйте прості варіації companyname. Якщо ви не можете його знайти, також можливо, що організація має запис CNAME на кшталт okta.companyname.com, що вказує на портал Okta.

Login in Okta via Kerberos

Якщо companyname.kerberos.okta.com активний, Kerberos використовується для доступу до Okta, зазвичай обходячи MFA для Windows користувачів. Щоб знайти користувачів Okta, автентифікованих за допомогою Kerberos в AD, запустіть getST.py з відповідними параметрами. Отримавши квиток користувача AD, впровадьте його в контрольований хост, використовуючи такі інструменти, як Rubeus або Mimikatz, переконавшись, що clientname.kerberos.okta.com знаходиться в зоні "Інтранет" в параметрах Інтернету. Доступ до конкретного URL-адреси повинен повернути JSON-відповідь "OK", що вказує на прийняття квитка Kerberos і надання доступу до панелі управління Okta.

Компрометація облікового запису служби Okta з делегованим SPN дозволяє провести атаку Silver Ticket. Однак використання Okta AES для шифрування квитків вимагає наявності ключа AES або пароля у відкритому вигляді. Використовуйте ticketer.py, щоб згенерувати квиток для жертви та доставити його через браузер для автентифікації з Okta.

Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.

Hijacking Okta AD Agent

Ця техніка передбачає доступ до Okta AD Agent на сервері, який синхронізує користувачів і обробляє автентифікацію. Вивчаючи та розшифровуючи конфігурації в OktaAgentService.exe.config, зокрема AgentToken за допомогою DPAPI, зловмисник може потенційно перехоплювати та маніпулювати даними автентифікації. Це дозволяє не лише моніторити та захоплювати облікові дані користувачів у відкритому вигляді під час процесу автентифікації Okta, але й відповідати на спроби автентифікації, що дозволяє несанкціонований доступ або надає універсальну автентифікацію через Okta (аналогічно "скелетному ключу").

Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.

Hijacking AD As an Admin

Ця техніка передбачає захоплення Okta AD Agent, спочатку отримавши OAuth Code, а потім запитуючи API токен. Токен пов'язаний з доменом AD, а конектор називається для створення фальшивого AD агента. Ініціалізація дозволяє агенту обробляти спроби автентифікації, захоплюючи облікові дані через API Okta. Доступні автоматизаційні інструменти для спрощення цього процесу, пропонуючи безперешкодний метод перехоплення та обробки даних автентифікації в середовищі Okta.

Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.

Okta Fake SAML Provider

Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.

Техніка передбачає розгортання фальшивого постачальника SAML. Інтегруючи зовнішнього постачальника ідентичності (IdP) в рамках Okta за допомогою привілейованого облікового запису, зловмисники можуть контролювати IdP, схвалюючи будь-який запит на автентифікацію на свій розсуд. Процес передбачає налаштування SAML 2.0 IdP в Okta, маніпулювання URL-адресою SSO IdP для перенаправлення через локальний файл hosts, генерацію самопідписаного сертифіката та налаштування параметрів Okta для відповідності імені користувача або електронній пошті. Успішне виконання цих кроків дозволяє автентифікуватися як будь-який користувач Okta, обходячи необхідність унікальних облікових даних користувача, значно підвищуючи контроль доступу в потенційно непомітний спосіб.

Phishing Okta Portal with Evilgnix

У цьому блозі пояснюється, як підготувати фішинг-кампанію проти порталу Okta.

Colleague Impersonation Attack

Атрибути, які може мати та змінювати кожен користувач (такі як електронна пошта або ім'я) можуть бути налаштовані в Okta. Якщо додаток довіряє як ID атрибуту, який користувач може змінити, він зможе вдаватись за інших користувачів на цій платформі.

Отже, якщо додаток довіряє полю userName, ви, ймовірно, не зможете його змінити (оскільки зазвичай не можна змінити це поле), але якщо він довіряє, наприклад, primaryEmail, ви можете змінити його на електронну адресу колеги та вдаватися за нього (вам потрібно буде мати доступ до електронної пошти та прийняти зміну).

Зверніть увагу, що це вдавання залежить від того, як був налаштований кожен додаток. Тільки ті, що довіряють полю, яке ви змінили, і приймають оновлення, будуть скомпрометовані. Отже, додаток повинен мати це поле увімкненим, якщо воно існує:

Я також бачив інші додатки, які були вразливими, але не мали цього поля в налаштуваннях Okta (в кінці кінців, різні додатки налаштовуються по-різному).

Найкращий спосіб дізнатися, чи можете ви вдаватися за когось у кожному додатку, - це спробувати це!

Evading behavioural detection policies

Політики виявлення поведінки в Okta можуть бути невідомими до їх зустрічі, але обхід їх можна досягти, націлюючи на додатки Okta безпосередньо, уникаючи основної панелі управління Okta. З токеном доступу Okta повторіть токен на URL-адресі конкретного додатка Okta замість основної сторінки входу.

Ключові рекомендації включають:

• Уникайте використання популярних анонімізуючих проксі та VPN-сервісів при повторному використанні захоплених токенів доступу.

• Переконайтеся, що рядки user-agent між клієнтом і повторно використаними токенами доступу є послідовними.

• Уникайте повторного використання токенів від різних користувачів з однієї IP-адреси.

• Будьте обережні при повторному використанні токенів проти панелі управління Okta.

• Якщо ви знаєте IP-адреси компанії жертви, обмежте трафік до цих IP або їх діапазону, блокуючи весь інший трафік.

Okta Hardening

Okta має багато можливих конфігурацій, на цій сторінці ви знайдете, як їх перевірити, щоб вони були максимально безпечними:

References

• https://trustedsec.com/blog/okta-for-red-teamers

• https://medium.com/nickvangilder/okta-for-red-teamers-perimeter-edition-c60cb8d53f23