Osnovne Informacije

Okta, Inc. je prepoznata u sektoru identiteta i upravljanja pristupom zbog svojih softverskih rešenja zasnovanih na oblaku. Ova rešenja su dizajnirana da olakšaju i osiguraju autentifikaciju korisnika preko različitih modernih aplikacija. Ona ne služe samo kompanijama koje žele da zaštite svoje osetljive podatke, već i programerima zainteresovanim za integraciju kontrola identiteta u aplikacije, veb servise i uređaje.

Glavna ponuda od Okta-e je Okta Identity Cloud. Ova platforma obuhvata niz proizvoda, uključujući ali ne ograničavajući se na:

• Jednostruko Prijavljivanje (SSO): Pojednostavljuje pristup korisnika omogućavajući jedan set prijavljivačkih podataka preko više aplikacija.

• Višestruka Autentifikacija (MFA): Povećava sigurnost zahtevajući više oblika verifikacije.

• Upravljanje Životnim Ciklusom: Automatizuje procese kreiranja, ažuriranja i deaktivacije korisničkih naloga.

• Univerzalni Direktorijum: Omogućava centralizovano upravljanje korisnicima, grupama i uređajima.

• Upravljanje Pristupom API-ju: Osigurava i upravlja pristupom API-ju.

Ovi servisi zajedno imaju za cilj da ojačaju zaštitu podataka i olakšaju pristup korisnika, unapređujući i sigurnost i praktičnost. Raznovrsnost Okta-inih rešenja ih čini popularnim izborom u različitim industrijama, korisnim kako za velike preduzeće, tako i za male kompanije i pojedinačne programere. Kako je poslednje ažuriranje bilo u septembru 2021, Okta je priznata kao značajna entitet u oblasti Upravljanja Identitetom i Pristupom (IAM).

Sumarizacija

Postoje korisnici (koji mogu biti skladišteni u Okta-i, prijavljeni iz konfigurisanih Provajdera Identiteta ili autentifikovani putem Active Directory-a ili LDAP-a). Ovi korisnici mogu biti unutar grupa. Postoje i autentifikatori: različite opcije za autentifikaciju kao što su lozinka, i nekoliko 2FA opcija poput WebAuthn, e-pošta, telefon, okta verify (mogu biti omogućeni ili onemogućeni)...

Zatim, postoje aplikacije sinhronizovane sa Okta-om. Svaka aplikacija će imati neko mapiranje sa Okta-om kako bi delila informacije (kao što su adrese e-pošte, imena...). Pored toga, svaka aplikacija mora biti unutar Politike Autentifikacije, koja pokazuje potrebne autentifikatore za korisnika da pristupi aplikaciji.

Napadi

Lociranje Okta Portala

Obično će portal kompanije biti lociran na nazivkompanije.okta.com. Ako nije, pokušajte jednostavne varijacije od nazivakompanije. Ako ga ne možete pronaći, takođe je moguće da organizacija ima CNAME zapis poput okta.nazivkompanije.com koji pokazuje ka Okta portalu.

Prijavljivanje u Okta putem Kerberosa

Ako je nazivkompanije.kerberos.okta.com aktivan, Kerberos se koristi za pristup Okta-i, obično zaobilazeći MFA za Windows korisnike. Da biste pronašli Kerberos-autentifikovane Okta korisnike u AD-u, pokrenite getST.py sa odgovarajućim parametrima. Nakon što dobijete AD korisnički tiket, ubacite ga u kontrolisani host koristeći alate poput Rubeus-a ili Mimikatz-a, obezbeđujući da je imeklijenta.kerberos.okta.com u "Intranet" zoni Internet opcija. Pristupanje određenom URL-u trebalo bi da vrati JSON odgovor "OK", što ukazuje na prihvatanje Kerberos tiketa, i omogućava pristup Okta kontrolnoj tabli.

Kompromitovanje Okta servisnog naloga sa SPN-om za delegaciju omogućava napad Silver Ticket. Međutim, Okta-ina upotreba AES za enkripciju tiketa zahteva posedovanje AES ključa ili plaintext lozinke. Koristite ticketer.py da generišete tiket za korisnika žrtve i dostavite ga preko pregledača radi autentifikacije sa Okta-om.

Proverite napad na https://trustedsec.com/blog/okta-for-red-teamers.

Preuzimanje Okta AD Agenta

Ova tehnika uključuje pristupanje Okta AD Agentu na serveru, koji sinhronizuje korisnike i upravlja autentifikacijom. Proučavanjem i dešifrovanjem konfiguracija u OktaAgentService.exe.config, posebno AgentToken korišćenjem DPAPI, napadač može potencijalno interceptovati i manipulisati podacima autentifikacije. Ovo ne samo da omogućava praćenje i hvatanje korisničkih podataka u plaintext-u tokom Okta autentifikacionog procesa, već i odgovaranje na pokušaje autentifikacije, čime se omogućava neovlašćen pristup ili pružanje univerzalne autentifikacije putem Okta-e (slično 'skeleton key').

Proverite napad na https://trustedsec.com/blog/okta-for-red-teamers.

Preuzimanje AD-a Kao Administrator

Ova tehnika uključuje preuzimanje Okta AD Agent-a prvo dobijanjem OAuth koda, a zatim zahtevanjem API tokena. Token je povezan sa AD domenom, a konektor je nazvan da uspostavi lažnog AD agenta. Inicijalizacija omogućava agentu da obradi pokušaje autentifikacije, hvatajući akreditive putem Okta API-ja. Alati za automatizaciju su dostupni kako bi olakšali ovaj proces, nudeći besprekoran način za presretanje i rukovanje podacima autentifikacije unutar Okta okruženja.

Proverite napad na https://trustedsec.com/blog/okta-for-red-teamers.

Okta Lažni SAML Provajder

Proverite napad na https://trustedsec.com/blog/okta-for-red-teamers.

Tehnika uključuje implementaciju lažnog SAML provajdera. Integrisanjem spoljnog Provajdera Identiteta (IdP) unutar Okta-ine strukture koristeći privilegovani nalog, napadači mogu kontrolisati IdP, odobravajući bilo koji zahtev za autentifikaciju po volji. Proces podrazumeva postavljanje SAML 2.0 IdP u Okta-i, manipulisanje IdP Single Sign-On URL-a za preusmeravanje putem lokalne hosts datoteke, generisanje samopotpisanog sertifikata i konfigurisanje Okta podešavanja da se podudaraju sa korisničkim imenom ili e-poštom. Uspešno izvršavanje ovih koraka omogućava autentifikaciju kao bilo koji Okta korisnik, zaobilazeći potrebu za individualnim korisničkim akreditivima, značajno unapređujući kontrolu pristupa na potencijalno neprimećen način.

Ribarenje Okta portala pomoću Evilgnix-a

U ovom blog postu je objašnjeno kako pripremiti kampanju ribarenja protiv Okta portala.

Napad na impersonaciju kolege

Atributi koje svaki korisnik može imati i menjati (poput emaila ili imena) mogu se konfigurisati u Okta. Ako aplikacija kao ID poverava neki atribut koji korisnik može menjati, on će moći impersonirati druge korisnike na toj platformi.

Stoga, ako aplikacija poverava polje userName, verovatno nećete moći da ga promenite (jer obično ne možete promeniti to polje), ali ako poverava na primer primaryEmail možda ćete moći da ga promenite u email adresu kolege i impersonirati je (morate imati pristup emailu i prihvatiti promenu).

Imajte na umu da ova impersonacija zavisi od toga kako je svaka aplikacija konfigurisana. Samo one koje poveravaju polje koje ste promenili i prihvataju ažuriranja biće kompromitovane. Stoga, aplikacija treba da ima ovo polje omogućeno ako postoji:

Video sam i druge aplikacije koje su bile ranjive, ali nisu imale to polje u Okta podešavanjima (na kraju različite aplikacije su konfigurisane na različite načine).

Najbolji način da saznate da li možete impersonirati bilo koga na svakoj aplikaciji je da to probate!

Izbeći politike otkrivanja ponašanja

Politike otkrivanja ponašanja u Okta mogu biti nepoznate dok se ne susretnete s njima, ali ih je moguće zaobići ciljajući Okta aplikacije direktno, izbegavajući glavnu Okta kontrolnu tablu. Sa Okta pristupnim tokenom, ponovite token na URL-u specifičnom za aplikaciju Okta umesto na glavnoj stranici za prijavu.

Ključne preporuke uključuju:

• Izbegavajte korišćenje popularnih anonimizatora i VPN usluga prilikom ponovnog reprodukovanja uhvaćenih pristupnih tokena.

• Osigurajte konzistentne korisničke agente između klijenta i ponovljenih pristupnih tokena.

• Suzdržite se od ponovnog reprodukovanja tokena različitih korisnika sa iste IP adrese.

• Budite oprezni prilikom ponovnog reprodukovanja tokena na Okta kontrolnoj tabli.

• Ako znate IP adrese kompanije žrtve, ograničite saobraćaj na te IP adrese ili njihov opseg, blokirajući sav ostali saobraćaj.

Jačanje Okta sistema

Okta ima mnogo mogućih konfiguracija, na ovoj stranici ćete pronaći kako da ih pregledate kako bi bile što sigurnije moguće:

Reference

• https://trustedsec.com/blog/okta-for-red-teamers

• https://medium.com/nickvangilder/okta-for-red-teamers-perimeter-edition-c60cb8d53f23