Okta Security
Podstawowe informacje
Okta, Inc. jest uznawana w sektorze zarządzania tożsamością i dostępem za swoje rozwiązania oprogramowania oparte na chmurze. Te rozwiązania są zaprojektowane w celu usprawnienia i zabezpieczenia uwierzytelniania użytkowników w różnych nowoczesnych aplikacjach. Są one przeznaczone nie tylko dla firm, które chcą chronić swoje wrażliwe dane, ale także dla programistów zainteresowanych integracją kontroli tożsamości w aplikacje, usługi internetowe i urządzenia.
Flagowym produktem Okta jest Okta Identity Cloud. Ta platforma obejmuje zestaw produktów, w tym między innymi:
Single Sign-On (SSO): Ułatwia dostęp użytkowników, pozwalając na jedno zestawienie danych logowania do wielu aplikacji.
Multi-Factor Authentication (MFA): Wzmacnia bezpieczeństwo, wymagając wielu form weryfikacji.
Zarządzanie cyklem życia: Automatyzuje procesy tworzenia, aktualizacji i dezaktywacji kont użytkowników.
Uniwersalny katalog: Umożliwia scentralizowane zarządzanie użytkownikami, grupami i urządzeniami.
Zarządzanie dostępem do interfejsu API: Zabezpiecza i zarządza dostępem do interfejsów API.
Te usługi mają na celu wzmocnienie ochrony danych i usprawnienie dostępu użytkowników, poprawiając zarówno bezpieczeństwo, jak i wygodę. Elastyczność rozwiązań Okta sprawia, że są one popularnym wyborem w różnych branżach, korzystne zarówno dla dużych przedsiębiorstw, małych firm, jak i indywidualnych programistów. Według ostatniej aktualizacji z września 2021 roku, Okta jest uznawana za prominentną jednostkę w dziedzinie zarządzania tożsamością i dostępem (IAM).
Głównym celem Okta jest skonfigurowanie dostępu różnym użytkownikom i grupom do zewnętrznych aplikacji. Jeśli uda ci się skompromitować uprawnienia administratora w środowisku Okta, bardzo prawdopodobne jest, że będziesz w stanie skompromitować wszystkie inne platformy, których firma używa.
Aby przeprowadzić przegląd bezpieczeństwa środowiska Okta, powinieneś poprosić o tylko do odczytu uprawnienia administratora.
Podsumowanie
Istnieją użytkownicy (którzy mogą być przechowywani w Okta, zalogowani z skonfigurowanych dostawców tożsamości lub uwierzytelniani za pomocą Active Directory lub LDAP). Ci użytkownicy mogą znajdować się w grupach. Istnieją również uwierzytelniacze: różne opcje uwierzytelniania, takie jak hasło, oraz kilka form uwierzytelniania dwuetapowego, takie jak WebAuthn, e-mail, telefon, okta verify (mogą być włączone lub wyłączone)...
Następnie są aplikacje zsynchronizowane z Okta. Każda aplikacja będzie miała pewne mapowanie z Okta, aby udostępniać informacje (takie jak adresy e-mail, imiona...). Ponadto, każda aplikacja musi znajdować się w polityce uwierzytelniania, która określa potrzebne uwierzytelniacze dla użytkownika, aby uzyskać dostęp do aplikacji.
Najpotężniejszą rolą jest Super Administrator.
Jeśli atakujący skompromituje Okta z dostępem administratora, wszystkie aplikacje zaufane Okta będą bardzo prawdopodobnie skompromitowane.
Ataki
Lokalizowanie portalu Okta
Zwykle portal firmy będzie znajdować się pod adresem nazwafirmy.okta.com. Jeśli nie, spróbuj prostych wariacji nazwy firmy. Jeśli nie możesz go znaleźć, możliwe, że organizacja ma rekord CNAME jak okta.nazwafirmy.com wskazujący na portal Okta.
Logowanie do Okta za pomocą Kerberos
Jeśli nazwafirmy.kerberos.okta.com jest aktywne, Kerberos jest używany do dostępu do Okta, zazwyczaj omijając MFA dla użytkowników Windows. Aby znaleźć użytkowników Okta uwierzytelnianych za pomocą Kerberos w AD, uruchom getST.py z odpowiednimi parametrami. Po uzyskaniu biletu użytkownika AD, wstrzyknij go do kontrolowanego hosta za pomocą narzędzi takich jak Rubeus lub Mimikatz, upewniając się, że nazwa_klienta.kerberos.okta.com znajduje się w strefie "Intranet" w opcjach Internetowych. Dostęp do określonego adresu URL powinien zwrócić odpowiedź JSON "OK", co wskazuje na akceptację biletu Kerberos i umożliwia dostęp do pulpitu Okta.
Skompromitowanie konta usługi Okta z SPN delegacji umożliwia atak Silver Ticket. Jednak użycie Okta AES do szyfrowania biletów wymaga posiadania klucza AES lub hasła w tekście jawnym. Użyj ticketer.py do wygenerowania biletu dla użytkownika ofiary i dostarcz go za pomocą przeglądarki, aby uwierzytelniać się w Okta.
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Przechwytywanie agenta Okta AD
Ta technika polega na dostępie do agenta Okta AD na serwerze, który synchronizuje użytkowników i obsługuje uwierzytelnianie. Poprzez analizę i deszyfrowanie konfiguracji w OktaAgentService.exe.config, w szczególności AgentToken za pomocą DPAPI, atakujący może potencjalnie przechwytywać i manipulować danymi uwierzytelniania. Pozwala to nie tylko na monitorowanie i przechwytywanie danych uwierzytelniania w postaci tekstu jawnego podczas procesu uwierzytelniania w Okta, ale także na odpowiadanie na próby uwierzytelniania, umożliwiając tym samym nieautoryzowany dostęp lub zapewnienie uniwersalnego uwierzytelniania za pośrednictwem Okta (podobnie jak 'klucz uniwersalny').
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Przechwytywanie AD jako administrator
Ta technika polega na przejęciu agenta Okta AD poprzez najpierw uzyskanie kodu OAuth, a następnie żądanie tokenu API. Token jest powiązany z domeną AD, a konnektor jest nazwany w celu utworzenia fałszywego agenta AD. Inicjowanie pozwala agentowi przetwarzać próby uwierzytelniania, przechwytując dane uwierzytelniania za pomocą interfejsu API Okta. Dostępne są narzędzia automatyzacji, które ułatwiają ten proces, oferując płynną metodę przechwytywania i obsługi danych uwierzytelniania w środowisku Okta.
Sprawdź atak w https://trustedsec.com/blog/okta-for-red-teamers.
Fałszywy dostawca SAML Okta
Ta technika polega na wdrożeniu fałszywego dostawcy SAML. Poprzez integrację zewnętrznego dostawcy tożsamości (IdP) w ramach struktury Okta za pomocą uprzywilejowanego konta, atakujący może kontrolować IdP, zatwierdzając dowolne żądanie uwierzytelniania według własnego uznania. Proces ten polega na skonfigurowaniu IdP SAML 2.0 w Okta, manipulowaniu adresem URL jednokrotnego logowania IdP w celu przekierowania za pomocą pliku hosts lokalnie, generowaniu certyfikatu podpisanego przez siebie oraz konfigurowaniu ustawień Okta w celu dopasowania do nazwy użytkownika lub adresu e-mail. Pomyślne wykonanie tych kroków umożliwia uwierzytelnianie jako dowolny użytkownik Okta, omijając konieczność posiadania indywidualnych danych uwierzytelniających użytkownika, znacząco podnosząc kontrolę dostępu w potencjalnie niezauważalny sposób.
Phishing Okta Portal with Evilgnix
W tym wpisie na blogu wyjaśniono, jak przygotować kampanię phishingową przeciwko portalowi Okta.
Atak na Podróżnika Służbowego
Atrybuty, które każdy użytkownik może mieć i modyfikować (takie jak adres e-mail czy imię) mogą być skonfigurowane w Okta. Jeśli aplikacja ufa jako ID atrybutowi, który użytkownik może modyfikować, będzie on mógł podawać się za innych użytkowników na tej platformie.
Dlatego jeśli aplikacja ufa polu userName, prawdopodobnie nie będziesz w stanie go zmienić (ponieważ zazwyczaj nie można zmienić tego pola), ale jeśli ufa na przykład polu primaryEmail, możesz być w stanie zmienić go na adres e-mail kolegi i podać się za niego (będziesz musiał mieć dostęp do tego adresu e-mail i zaakceptować zmianę).
Należy zauważyć, że to podawanie się za kogoś zależy od tego, jak została skonfigurowana każda aplikacja. Skompromitowane będą tylko te aplikacje, które ufają polu, które zmodyfikowałeś i akceptują aktualizacje. Dlatego aplikacja powinna mieć to pole włączone, jeśli istnieje:
Widziałem także inne aplikacje, które były podatne, ale nie miały tego pola w ustawieniach Okta (w końcu różne aplikacje są konfigurowane w różny sposób).
Najlepszym sposobem, aby dowiedzieć się, czy możesz podać się za kogoś na każdej aplikacji, byłoby to po prostu sprawdzić!
Unikanie polityk wykrywania zachowań
Polityki wykrywania zachowań w Okta mogą być nieznane do momentu ich napotkania, ale obejście ich można osiągnąć, celując bezpośrednio w aplikacje Okta, unikając głównego pulpitu Okta. Za pomocą tokena dostępu Okta, odtwórz token na adresie URL specyficznym dla aplikacji Okta zamiast na głównej stronie logowania.
Główne zalecenia obejmują:
Unikaj korzystania z popularnych anonimizujących serwisów proxy i usług VPN podczas odtwarzania przechwyconych tokenów dostępu.
Upewnij się, że ciągi identyfikatorów użytkownika są spójne między klientem a odtwarzanymi tokenami dostępu.
Powstrzymaj się od odtwarzania tokenów różnych użytkowników z tego samego adresu IP.
Bądź ostrożny podczas odtwarzania tokenów na pulpicie Okta.
Jeśli znasz adresy IP firmy ofiary, ogranicz ruch do tych adresów IP lub ich zakresu, blokując cały inny ruch.
Zabezpieczenia Okta
Okta ma wiele możliwych konfiguracji, na tej stronie znajdziesz, jak je przejrzeć, aby były jak najbardziej bezpieczne:
pageOkta HardeningOdnośniki
Last updated
