Japanese - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Okta Security

Support HackTricks

Basic Information

Okta, Inc. は、クラウドベースのソフトウェアソリューションで知られるアイデンティティおよびアクセス管理分野の企業です。これらのソリューションは、さまざまな最新アプリケーションでのユーザー認証を簡素化し、安全にすることを目的としています。これにより、企業は機密データを保護し、開発者はアプリケーション、ウェブサービス、デバイスにアイデンティティコントロールを統合することができます。

Oktaの主力製品はOkta Identity Cloudです。このプラットフォームには、以下を含む一連の製品が含まれますが、これに限定されません:

  • Single Sign-On (SSO): 複数のアプリケーションで1つのログイン資格情報を使用してユーザーアクセスを簡素化します。

  • Multi-Factor Authentication (MFA): 複数の検証形式を要求することでセキュリティを強化します。

  • Lifecycle Management: ユーザーアカウントの作成、更新、無効化プロセスを自動化します。

  • Universal Directory: ユーザー、グループ、デバイスの集中管理を可能にします。

  • API Access Management: APIへのアクセスを保護し、管理します。

これらのサービスは、データ保護を強化し、ユーザーアクセスを簡素化することを目的としています。Oktaのソリューションの多様性は、さまざまな業界で人気があり、大企業、小規模企業、個々の開発者にとって有益です。2021年9月の最新情報によると、Oktaはアイデンティティおよびアクセス管理(IAM)分野で著名な存在として認識されています。

Oktaの主な目的は、異なるユーザーやグループに対して外部アプリケーションへのアクセスを設定することです。もしOkta環境で管理者権限を侵害することができれば、その企業が使用している他のすべてのプラットフォームを侵害する可能性が非常に高いです。

Okta環境のセキュリティレビューを行うには、管理者の読み取り専用アクセスを要求する必要があります。

Summary

ユーザーOktaに保存されているか、設定されたIdentity Providersからログインするか、Active DirectoryまたはLDAPを介して認証される)が存在します。 これらのユーザーはグループ内に存在することがあります。 また、認証器も存在します:パスワードやWebAuthn、メール、電話、okta verifyなどの複数の2FAオプション(有効または無効にすることができます)...

次に、Oktaと同期されたアプリケーションがあります。各アプリケーションは、情報(メールアドレス、名前など)を共有するためのOktaとのマッピングを持っています。さらに、各アプリケーションは認証ポリシー内に存在し、ユーザーがアプリケーションにアクセスするために必要な認証器を示します。

最も強力な役割はSuper Administratorです。

攻撃者が管理者アクセスでOktaを侵害した場合、Oktaを信頼しているすべてのアプリが非常に高い確率で侵害されるでしょう。

Attacks

Locating Okta Portal

通常、企業のポータルはcompanyname.okta.comにあります。そうでない場合は、companynameの簡単なバリエーションを試してください。見つからない場合、組織がCNAMEレコード(例:okta.companyname.com)をOktaポータルにポイントしている可能性もあります。

Login in Okta via Kerberos

もし**companyname.kerberos.okta.comがアクティブであれば、KerberosがOktaアクセスに使用されていることを意味し、通常はWindowsユーザーのためにMFAをバイパスします。ADでKerberos認証されたOktaユーザーを見つけるには、適切なパラメータでgetST.pyを実行します。ADユーザーチケットを取得したら、RubeusやMimikatzなどのツールを使用して制御されたホストに注入し、clientname.kerberos.okta.comがインターネットオプションの「イントラネット」ゾーンにあることを確認**します。特定のURLにアクセスすると、JSONの「OK」応答が返され、Kerberosチケットの受け入れが確認され、Oktaダッシュボードへのアクセスが許可されます。

委任SPNを持つOktaサービスアカウントを侵害すると、Silver Ticket攻撃が可能になります。 ただし、Oktaはチケット暗号化にAESを使用しているため、AESキーまたは平文パスワードを持っている必要があります。ticketer.pyを使用して被害者ユーザーのチケットを生成し、ブラウザ経由でOktaに認証させます。

攻撃の詳細は https://trustedsec.com/blog/okta-for-red-teamersで確認してください。

Hijacking Okta AD Agent

この技術は、サーバー上のOkta AD Agentにアクセスし、ユーザーの同期と認証を処理することを含みます。OktaAgentService.exe.configの設定を調査し、特にDPAPIを使用してAgentTokenを復号化することで、攻撃者は認証データを傍受し操作する可能性があります。これにより、Okta認証プロセス中に平文でユーザー資格情報を監視およびキャプチャするだけでなく、認証試行に応答することも可能になり、Oktaを通じて不正アクセスやユニバーサル認証を提供することができます(いわゆる「スケルトンキー」)。

攻撃の詳細は https://trustedsec.com/blog/okta-for-red-teamersで確認してください。

Hijacking AD As an Admin

この技術は、OAuthコードを取得し、APIトークンを要求することでOkta AD Agentをハイジャックすることを含みます。トークンはADドメインに関連付けられ、偽のADエージェントを確立するためにコネクタが命名されます。初期化により、エージェントは認証試行を処理し、Okta APIを介して資格情報をキャプチャします。自動化ツールを使用すると、このプロセスが簡素化され、Okta環境内で認証データを傍受および処理するシームレスな方法が提供されます。

攻撃の詳細は https://trustedsec.com/blog/okta-for-red-teamersで確認してください。

Okta Fake SAML Provider

攻撃の詳細は https://trustedsec.com/blog/okta-for-red-teamersで確認してください。

この技術は、偽のSAMLプロバイダーを展開することを含みます。特権アカウントを使用してOktaのフレームワーク内に外部アイデンティティプロバイダー(IdP)を統合することで、攻撃者はIdPを制御し、任意の認証要求を承認することができます。このプロセスには、OktaにSAML 2.0 IdPを設定し、ローカルホストファイルを介してIdPシングルサインオンURLをリダイレクトし、自己署名証明書を生成し、Okta設定をユーザー名またはメールアドレスに一致させることが含まれます。これらの手順を成功させることで、個々のユーザー資格情報を必要とせずに任意のOktaユーザーとして認証できるようになり、アクセス制御が大幅に向上します。

Phishing Okta Portal with Evilgnix

このブログ記事 では、Oktaポータルに対するフィッシングキャンペーンの準備方法が説明されています。

Colleague Impersonation Attack

各ユーザーが持ち、変更できる属性(メールや名前など)はOktaで設定できます。もしアプリケーションがIDとしてユーザーが変更できる属性信頼している場合、そのプラットフォームで他のユーザーを偽装することができます。

したがって、アプリが**userNameフィールドを信頼している場合、通常そのフィールドを変更できないため、変更できない可能性がありますが、例えばprimaryEmail**を信頼している場合、同僚のメールアドレスに変更して偽装することができます(メールにアクセスして変更を受け入れる必要があります)。

この偽装は各アプリケーションの設定方法に依存します。変更したフィールドを信頼し、更新を受け入れるアプリのみが侵害されます。 したがって、アプリにこのフィールドが存在する場合は有効にする必要があります:

Okta設定にそのフィールドがないが脆弱な他のアプリも見たことがあります(最終的には異なるアプリが異なる設定を持っているため)。

各アプリで誰かを偽装できるかどうかを確認する最良の方法は、試してみることです!

Evading behavioural detection policies

Oktaの行動検出ポリシーは遭遇するまで不明かもしれませんが、回避するにはOktaアプリケーションに直接アクセスし、メインのOktaダッシュボードを避けることができます。Oktaアクセストークンを使用して、メインのログインページではなくアプリケーション固有のOkta URLでトークンを再生します。

主な推奨事項は次のとおりです:

  • キャプチャされたアクセストークンを再生する際に、一般的な匿名プロキシやVPNサービスを使用しないでください。

  • クライアントと再生されたアクセストークンの間で一貫したユーザーエージェント文字列を確保してください。

  • 同じIPアドレスから異なるユーザーのトークンを再生しないでください

  • Oktaダッシュボードに対してトークンを再生する際には注意してください。

  • 被害者企業のIPアドレスを知っている場合は、そのIPまたはその範囲にトラフィックを制限し、他のすべてのトラフィックをブロックしてください。

Okta Hardening

Oktaには多くの設定オプションがあります。このページでは、可能な限り安全にするためのレビュー方法を紹介します:

Okta Hardening

References

Support HackTricks
PreviousCloudflare Zero Trust NetworkNextOkta Hardening

Last updated