Okta Security

Taarifa za Msingi

Okta, Inc. inatambulika katika sekta ya usimamizi wa utambulisho na ufikiaji kwa suluhisho zake za programu za wingu. Suluhisho hizi zimeundwa kurahisisha na kulinda uthibitishaji wa watumiaji kwenye programu mbalimbali za kisasa. Zinahudumia sio tu kampuni zinazolenga kulinda data zao nyeti bali pia watengenezaji wanaopenda kuunganisha udhibiti wa utambulisho kwenye programu, huduma za wavuti, na vifaa.

Bidhaa kuu kutoka Okta ni Okta Identity Cloud. Jukwaa hili linajumuisha seti ya bidhaa, ikiwa ni pamoja na:

• Single Sign-On (SSO): Inarahisisha ufikiaji wa watumiaji kwa kuruhusu seti moja ya sifa za kuingia kwenye programu nyingi.

• Multi-Factor Authentication (MFA): Inaboresha usalama kwa kuhitaji aina nyingi za uthibitishaji.

• Lifecycle Management: Inachakata uundaji wa akaunti za watumiaji, sasisho, na michakato ya kuzima.

• Universal Directory: Inaruhusu usimamizi wa kati wa watumiaji, vikundi, na vifaa.

• API Access Management: Inalinda na kusimamia ufikiaji wa APIs.

Huduma hizi kwa pamoja zinalenga kuimarisha ulinzi wa data na kurahisisha ufikiaji wa watumiaji, kuboresha usalama na urahisi. Uwezo wa suluhisho za Okta unazifanya kuwa chaguo maarufu katika sekta mbalimbali, zikiwa na manufaa kwa makampuni makubwa, kampuni ndogo, na watengenezaji binafsi. Kufikia sasisho la mwisho mnamo Septemba 2021, Okta inatambulika kama chombo muhimu katika eneo la Usimamizi wa Utambulisho na Ufikiaji (IAM).

Muhtasari

Kuna watumiaji (ambao wanaweza kuwa wamehifadhiwa katika Okta, wameingia kutoka kwa Identity Providers zilizosanidiwa au kuthibitishwa kupitia Active Directory au LDAP). Watumiaji hawa wanaweza kuwa ndani ya vikundi. Pia kuna authenticators: chaguzi tofauti za kuthibitisha kama nywila, na 2FA kadhaa kama WebAuthn, barua pepe, simu, okta verify (zinaweza kuwezeshwa au kuzimwa)...

Kisha, kuna programu zilizosawazishwa na Okta. Kila programu itakuwa na ramani na Okta kushiriki taarifa (kama anwani za barua pepe, majina ya kwanza...). Zaidi ya hayo, kila programu lazima iwe ndani ya Sera ya Uthibitishaji, ambayo inaonyesha authenticators zinazohitajika kwa mtumiaji kufikia programu.

Mashambulizi

Kupata Portal ya Okta

Kwa kawaida portal ya kampuni itakuwa katika companyname.okta.com. Ikiwa sivyo, jaribu mabadiliko rahisi ya companyname. Ikiwa huwezi kuipata, inawezekana pia kwamba shirika lina rekodi ya CNAME kama okta.companyname.com inayoelekeza kwenye portal ya Okta.

Kuingia katika Okta kupitia Kerberos

Ikiwa companyname.kerberos.okta.com inafanya kazi, Kerberos inatumika kwa ufikiaji wa Okta, kwa kawaida ikipitia MFA kwa watumiaji wa Windows. Ili kupata watumiaji wa Okta waliothibitishwa na Kerberos katika AD, endesha getST.py na vigezo vinavyofaa. Baada ya kupata tiketi ya mtumiaji wa AD, iingize kwenye mwenyeji unaodhibitiwa kwa kutumia zana kama Rubeus au Mimikatz, kuhakikisha clientname.kerberos.okta.com iko katika chaguo za mtandao "Intranet" zone. Kufikia URL maalum kunapaswa kurudisha majibu ya JSON "OK", kuonyesha kukubalika kwa tiketi ya Kerberos, na kutoa ufikiaji wa dashibodi ya Okta.

Kuhujumu akaunti ya huduma ya Okta na SPN ya udelegation inaruhusu shambulio la Silver Ticket. Hata hivyo, matumizi ya AES ya Okta kwa usimbaji wa tiketi yanahitaji kuwa na ufunguo wa AES au nywila ya wazi. Tumia ticketer.py kuzalisha tiketi kwa mtumiaji wa mwathirika na kuiwasilisha kupitia kivinjari ili kuthibitisha na Okta.

Angalia shambulio katika https://trustedsec.com/blog/okta-for-red-teamers.

Kuhujumu Okta AD Agent

Mbinu hii inahusisha kupata ufikiaji wa Okta AD Agent kwenye seva, ambayo inasawazisha watumiaji na kushughulikia uthibitishaji. Kwa kuchunguza na kufungua usimbaji wa mipangilio katika OktaAgentService.exe.config, hasa AgentToken kwa kutumia DPAPI, mshambulizi anaweza kunasa na kudhibiti data ya uthibitishaji. Hii inaruhusu sio tu kufuatilia na kunasa sifa za watumiaji kwa maandishi wazi wakati wa mchakato wa uthibitishaji wa Okta lakini pia kujibu majaribio ya uthibitishaji, hivyo kuruhusu ufikiaji usioidhinishwa au kutoa uthibitishaji wa ulimwengu wote kupitia Okta (kama 'skeleton key').

Angalia shambulio katika https://trustedsec.com/blog/okta-for-red-teamers.

Kuhujumu AD Kama Msimamizi

Mbinu hii inahusisha kuhujumu Okta AD Agent kwa kwanza kupata Msimbo wa OAuth, kisha kuomba tokeni ya API. Tokeni inahusishwa na kikoa cha AD, na kiunganishi kinaitwa kuanzisha wakala wa bandia wa AD. Uanzishaji unaruhusu wakala kuchakata majaribio ya uthibitishaji, kunasa sifa kupitia API ya Okta. Zana za kiotomatiki zinapatikana kurahisisha mchakato huu, kutoa njia isiyo na mshono ya kunasa na kushughulikia data ya uthibitishaji ndani ya mazingira ya Okta.

Angalia shambulio katika https://trustedsec.com/blog/okta-for-red-teamers.

Okta Fake SAML Provider

Angalia shambulio katika https://trustedsec.com/blog/okta-for-red-teamers.

Mbinu hii inahusisha kupeleka mtoa huduma wa bandia wa SAML. Kwa kuunganisha Mtoa Utambulisho wa nje (IdP) ndani ya mfumo wa Okta kwa kutumia akaunti yenye haki, washambulizi wanaweza kudhibiti IdP, kuidhinisha ombi lolote la uthibitishaji kwa hiari. Mchakato unajumuisha kusanidi IdP ya SAML 2.0 katika Okta, kudanganya URL ya IdP Single Sign-On kwa kuelekeza kupitia faili ya wenyeji wa ndani, kuzalisha cheti kilichosainiwa kibinafsi, na kusanidi mipangilio ya Okta ili kulinganisha dhidi ya jina la mtumiaji au barua pepe. Kufanikiwa kutekeleza hatua hizi kunaruhusu uthibitishaji kama mtumiaji yeyote wa Okta, kupita haja ya sifa za mtumiaji binafsi, na kuongeza udhibiti wa ufikiaji kwa kiwango kikubwa kwa njia isiyoweza kugundulika.

Kughushi Portal ya Okta na Evilgnix

Katika blogu hii inaelezwa jinsi ya kuandaa kampeni ya udukuzi dhidi ya portal ya Okta.

Shambulio la Kujifanya Mfanyakazi Mwenzako

Sifa ambazo kila mtumiaji anaweza kuwa nazo na kubadilisha (kama barua pepe au jina la kwanza) zinaweza kusanidiwa katika Okta. Ikiwa programu inategemea kama ID sifa ambayo mtumiaji anaweza kubadilisha, ataweza kujifanya watumiaji wengine kwenye jukwaa hilo.

Kwa hivyo, ikiwa programu inategemea uwanja userName, huenda usiweze kuubadilisha (kwa sababu kwa kawaida huwezi kubadilisha uwanja huo), lakini ikiwa inategemea kwa mfano primaryEmail unaweza kuibadilisha kwa anwani ya barua pepe ya mfanyakazi mwenzako na kujifanya yeye (utahitaji kuwa na ufikiaji wa barua pepe na kukubali mabadiliko).

Kumbuka kuwa kujifanya huku kunategemea jinsi kila programu ilivyosanidiwa. Ni zile tu zinazotegemea uwanja uliobadilisha na kukubali sasisho zitakazohujumiwa. Kwa hivyo, programu inapaswa kuwa na uwanja huu umewezeshwa ikiwa upo:

Nimeona pia programu nyingine ambazo zilikuwa na udhaifu lakini hazikuwa na uwanja huo katika mipangilio ya Okta (mwishowe programu tofauti zinasanidiwa tofauti).

Njia bora ya kujua ikiwa unaweza kujifanya mtu yeyote kwenye kila programu itakuwa kujaribu!

Kuepuka sera za kugundua tabia

Sera za kugundua tabia katika Okta zinaweza kuwa hazijulikani hadi zitakapokutana, lakini kupita nazo kunaweza kupatikana kwa kulenga programu za Okta moja kwa moja, kuepuka dashibodi kuu ya Okta. Kwa kutumia tokeni ya ufikiaji ya Okta, rudia tokeni kwenye URL maalum ya programu ya Okta badala ya ukurasa kuu wa kuingia.

Mapendekezo muhimu ni pamoja na:

• Epuka kutumia wakala maarufu wa kuficha na huduma za VPN wakati wa kurudia tokeni za ufikiaji zilizokamatwa.

• Hakikisha mishale ya mtumiaji inalingana kati ya mteja na tokeni za ufikiaji zilizorudiwa.

• Usirudie tokeni kutoka kwa watumiaji tofauti kutoka kwa anwani moja ya IP.

• Kuwa mwangalifu wakati wa kurudia tokeni dhidi ya dashibodi ya Okta.

• Ikiwa unajua anwani za IP za kampuni ya mwathirika, zuia trafiki kwa anwani hizo za IP au anuwai yao, ukizuia trafiki nyingine yote.

Kuimarisha Okta

Okta ina mipangilio mingi inayowezekana, katika ukurasa huu utapata jinsi ya kuipitia ili iwe salama iwezekanavyo:

Marejeo

• https://trustedsec.com/blog/okta-for-red-teamers

• https://medium.com/nickvangilder/okta-for-red-teamers-perimeter-edition-c60cb8d53f23