Okta Security

htARTE（HackTricks AWS Red Team Expert） を通じてゼロからヒーローまでAWSハッキングを学ぶ！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksグッズを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見る
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローする
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する

基本情報

Okta, Inc.は、クラウドベースのソフトウェアソリューションで知られるアイデンティティおよびアクセス管理セクターで認識されています。これらのソリューションは、さまざまなモダンアプリケーションでのユーザー認証を効率化し、セキュリティを確保するために設計されています。これらは、機密データを保護しようとする企業だけでなく、アイデンティティコントロールをアプリケーション、Webサービス、およびデバイスに統合したい開発者にも対応しています。

Oktaの主力製品はOkta Identity Cloudです。このプラットフォームには、次の製品などが含まれています。

シングルサインオン（SSO）：複数のアプリケーションで1つのログイン資格情報を使用してユーザーアクセスを簡素化します。
マルチファクタ認証（MFA）：複数の検証形式を要求することでセキュリティを強化します。
ライフサイクル管理：ユーザーアカウントの作成、更新、無効化プロセスを自動化します。
ユニバーサルディレクトリ：ユーザー、グループ、およびデバイスの中央管理を可能にします。
APIアクセス管理：APIへのアクセスを保護し管理します。

これらのサービスは、データ保護を強化し、ユーザーアクセスを効率化し、セキュリティと利便性の両方を向上させることを目指しています。Oktaのソリューションの柔軟性により、大企業、中小企業、個々の開発者にとっても人気のある選択肢となっています。2021年9月の最新情報によると、Oktaはアイデンティティおよびアクセス管理（IAM）分野で著名な存在として認識されています。

Oktaの主な目標は、異なるユーザーやグループへの外部アプリケーションへのアクセスを構成することです。Oktaの管理者特権を侵害すると、おそらく企業が使用している他のプラットフォームも侵害される可能性が非常に高くなります。

Okta環境のセキュリティレビューを実行するには、管理者用の読み取り専用アクセスを要求する必要があります。

概要

ユーザー（Oktaに保存されている可能性がある、構成されたアイデンティティプロバイダーからログインしたり、Active DirectoryまたはLDAPを介して認証されたりする）が存在します。これらのユーザーはグループに所属することができます。 認証器もあります：パスワードなどの認証方法やWebAuthn、電子メール、電話、okta verifyなどの複数の2要素認証が有効または無効になっている可能性があります...

次に、Oktaと同期されたアプリケーションがあります。各アプリケーションは、情報を共有するためにOktaとのマッピングを持つ必要があります（電子メールアドレス、名前など）。さらに、各アプリケーションは、ユーザーがアプリケーションにアクセスするために必要な認証器を示す認証ポリシー内に配置されている必要があります。

最も強力な役割はスーパー管理者です。

攻撃者が管理者アクセスでOktaを侵害すると、Oktaを信頼するすべてのアプリケーションが高い確率で侵害される可能性があります。

攻撃

Oktaポータルの特定

通常、企業のポータルはcompanyname.okta.comにあります。そうでない場合は、companynameの単純なバリエーションを試してみてください。見つけられない場合は、組織がOktaポータルを指す**okta.companyname.comのようなCNAME**レコードを持っている可能性もあります。

Kerberosを介したOktaへのログイン

companyname.kerberos.okta.comがアクティブである場合、KerberosがOktaアクセスに使用され、通常はWindowsユーザーのMFAをバイパスします。ADでKerberos認証されたOktaユーザーを見つけるには、getST.pyを適切なパラメータで実行します。ADユーザーチケットを取得したら、RubeusやMimikatzなどのツールを使用して制御されたホストに注入し、clientname.kerberos.okta.comがInternet Optionsの"Intranet"ゾーンにあることを確認します。特定のURLにアクセスすると、Kerberosチケットが受け入れられ、Oktaダッシュボードへのアクセスが許可されることを示すJSONの「OK」応答が返されます。

Oktaサービスアカウントを委任SPNで侵害すると、Silver Ticket攻撃が可能になります。ただし、Oktaがチケット暗号化にAESを使用しているため、AESキーまたは平文パスワードを所有する必要があります。ticketer.pyを使用して被害者ユーザーのためのチケットを生成し、ブラウザを介して配信してOktaで認証することができます。

攻撃を確認する https://trustedsec.com/blog/okta-for-red-teamers。

Okta ADエージェントのハイジャック

この技術は、ユーザーを同期し認証を処理するOkta ADエージェントにアクセスすることを含みます。OktaAgentService.exe.configで構成を調査し、特にDPAPIを使用してAgentTokenを復号化することで、攻撃者は潜在的に認証データを傍受および操作することができます。これにより、Okta認証プロセス中にユーザーの資格情報を平文で監視およびキャプチャするだけでなく、認証試行に応答することも可能になり、未承認のアクセスを可能にしたり、Oktaを介した普遍的な認証を提供したりすることができます（「スケルトンキー」と同様）。

攻撃を確認する https://trustedsec.com/blog/okta-for-red-teamers。

管理者としてADのハイジャック

この技術は、最初にOAuthコードを取得し、次にAPIトークンを要求することで、Okta ADエージェントをハイジャックすることを含みます。トークンはADドメインに関連付けられ、コネクタが偽のADエージェントを確立するように名前が付けられます。初期化により、エージェントは認証試行を処理し、Okta APIを介して資格情報をキャプチャすることができます。このプロセスを効率化するための自動化ツールが利用可能であり、Okta環境内で認証データを傍受および処理するシームレスな方法を提供し、Okta環境内で認証データを処理する方法を提供します。

攻撃を確認する https://trustedsec.com/blog/okta-for-red-teamers。

OktaフェイクSAMLプロバイダ

攻撃を確認する https://trustedsec.com/blog/okta-for-red-teamers。

この技術は、偽のSAMLプロバイダを展開することを含みます。特権アカウントを使用してOktaのフレームワークに外部アイデンティティプロバイダ（IdP）を統合することで、攻撃者はIdPを制御し、任意の認証リクエストを承認することができます。このプロセスには、OktaにSAML 2.0 IdPを設定し、ローカルホストファイルを介してリダイレクトするためのIdPシングルサインオンURLを操作し、自己署名証明書を生成し、Okta設定をユーザー名または電子メールに一致するように構成することが含まれます。これらの手順を成功裏に実行すると、個々のユーザー資格情報が不要となり、個々のユーザー資格情報が不要となり、Oktaユーザーとして認証することが可能になり、アクセス制御が大幅に向上し、潜在的に気づかれない方法でアクセス制御が向上します。

Evilgnixを使用したOktaポータルのフィッシング

このブログ投稿では、Oktaポータルに対するフィッシングキャンペーンの準備方法が説明されています。

同僚のなりすまし攻撃

各ユーザーが持つことができ、変更できる属性（例：メールアドレスや名前）はOktaで構成できます。ユーザーが変更できる属性をIDとして信頼しているアプリケーションがある場合、そのプラットフォームで他のユーザーをなりすますことができます。

したがって、アプリケーションが**userNameフィールドを信頼している場合、通常そのフィールドを変更することはできませんが、たとえばprimaryEmail**を信頼している場合、同僚のメールアドレスに変更してなりすますことができるかもしれません（メールにアクセスして変更を承認する必要があります）。

このなりすましは、各アプリケーションがどのように構成されているかに依存します。変更したフィールドを信頼し、更新を受け入れるアプリケーションのみが危険にさらされます。したがって、そのフィールドが存在する場合、アプリケーションはこのフィールドを有効にしている必要があります：

私は、Oktaの設定にそのフィールドがないが脆弱な他のアプリケーションも見てきました（最終的に異なるアプリケーションは異なる方法で構成されています）。

各アプリで誰でもなりすますことができるかどうかを確認する最良の方法は、試してみることです！

行動検知ポリシーの回避

Oktaの行動検知ポリシーは遭遇するまで不明かもしれませんが、それらをバイパスすることは、主要なOktaダッシュボードを回避し、Oktaアプリケーションを直接ターゲットすることで達成できます。Oktaアクセストークンを使用して、メインのログインページではなくアプリケーション固有のOkta URLでトークンを再生します。

主な推奨事項は次のとおりです：

キャプチャされたアクセストークンを再生する際に、一般的な匿名化プロキシやVPNサービスを使用しないこと。
クライアントと再生されたアクセストークンの間で一貫したユーザーエージェント文字列を確保すること。
同じIPアドレスから異なるユーザーのトークンを再生することを控えること。
Oktaダッシュボードに対してトークンを再生する際は注意を払うこと。
被害企業のIPアドレスを把握している場合は、そのIPまたはその範囲にトラフィックを制限し、他のすべてのトラフィックをブロックすること。

Oktaの強化

Oktaには多くの可能な構成があります。このページでは、それらをできるだけ安全にする方法について説明します：

pageOkta Hardening

参考文献

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスウォッグを入手する
The PEASS Familyを発見し、独占的なNFTコレクションを見つける
💬 Discordグループやtelegramグループに参加したり、Twitter 🐦 @hacktricks_liveをフォローする
HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有する

前へCloudflare Zero Trust Network 次へOkta Hardening

最終更新 1 か月前