Основна інформація

Okta, Inc. визнана в галузі управління ідентифікацією та доступом за своїми хмарними програмними рішеннями. Ці рішення призначені для оптимізації та забезпечення безпеки аутентифікації користувачів у різних сучасних додатках. Вони спрямовані не лише на компанії, які прагнуть захистити свої конфіденційні дані, але й на розробників, які зацікавлені в інтеграції контролів ідентичності в додатки, веб-сервіси та пристрої.

Флагманським пропозицією від Okta є Okta Identity Cloud. Ця платформа включає набір продуктів, включаючи, але не обмежуючись:

• Одноразовий вхід (SSO): Спрощує доступ користувача, дозволяючи один набір облікових даних для доступу до кількох додатків.

• Багатофакторна аутентифікація (MFA): Підвищує безпеку, вимагаючи кілька форм підтвердження.

• Управління життєвим циклом: Автоматизує процеси створення, оновлення та деактивації облікових записів користувачів.

• Універсальний каталог: Дозволяє централізовано керувати користувачами, групами та пристроями.

• Управління доступом до API: Забезпечує безпеку та керування доступом до API.

Ці послуги спільно спрямовані на зміцнення захисту даних та оптимізацію доступу користувачів, підвищуючи як безпеку, так і зручність. Універсальність рішень Okta робить їх популярними у різних галузях, корисними як для великих підприємств, так і для малих компаній та індивідуальних розробників. На момент останнього оновлення у вересні 2021 року Okta визнана видатною учасницею на ринку управління ідентифікацією та доступом (IAM).

Огляд

Є користувачі (які можуть бути збережені в Okta, увійдені з налаштованими постачальниками ідентичності або аутентифіковані через Active Directory або LDAP). Ці користувачі можуть бути в групах. Є також аутентифікатори: різні варіанти аутентифікації, такі як пароль, та кілька 2FA, такі як WebAuthn, електронна пошта, телефон, okta verify (їх можна увімкнути або вимкнути)...

Потім є додатки, які синхронізовані з Okta. Кожен додаток матиме деяке відображення з Okta, щоб обмінюватися інформацією (такою як адреси електронної пошти, імена...). Крім того, кожен додаток повинен бути в Політиці аутентифікації, яка вказує необхідні аутентифікатори для користувача для доступу до додатку.

Атаки

Визначення порталу Okta

Зазвичай портал компанії буде розташований на companyname.okta.com. Якщо ні, спробуйте прості варіації companyname. Якщо ви не можете знайти його, також можливо, що у організації є запис CNAME, наприклад okta.companyname.com, який вказує на портал Okta.

Вхід в Okta через Kerberos

Якщо companyname.kerberos.okta.com активний, для доступу до Okta використовується Kerberos, зазвичай обхід MFA для користувачів Windows. Щоб знайти користувачів Okta, які аутентифікувались через Kerberos в AD, запустіть getST.py з відповідними параметрами. Після отримання квитка користувача AD, впровадіть його на керований хост за допомогою інструментів, таких як Rubeus або Mimikatz, переконавшись, що clientname.kerberos.okta.com знаходиться в зоні "Intranet" параметрів Інтернет-опцій. Доступ до певного URL повинен повернути JSON-відповідь "OK", що вказує на прийняття квитка Kerberos та надання доступу до панелі управління Okta.

Компрометація облікового запису служби Okta з делегуванням SPN дозволяє провести атаку Silver Ticket. Однак використання Okta AES для шифрування квитків вимагає наявності ключа AES або пароля у відкритому тексті. Використовуйте ticketer.py для генерації квитка для користувача-жертви та доставки його через браузер для аутентифікації в Okta.

Перевірте атаку за посиланням https://trustedsec.com/blog/okta-for-red-teamers.

Перехоплення Okta AD Agent

Ця техніка передбачає доступ до Okta AD Agent на сервері, який синхронізує користувачів та обробляє аутентифікацію. Шляхом аналізу та розшифрування конфігурацій в OktaAgentService.exe.config, зокрема AgentToken за допомогою DPAPI, зловмисник може потенційно перехоплювати та маніпулювати даними аутентифікації. Це дозволяє не лише моніторинг та захоплення облікових даних користувачів у відкритому тексті під час процесу аутентифікації в Okta, але й відповідь на спроби аутентифікації, тим самим надаючи несанкціонований доступ або забезпечуючи універсальну аутентифікацію через Okta (аналогічно "скелетному ключу").

Перевірте атаку за посиланням https://trustedsec.com/blog/okta-for-red-teamers.

Перехоплення AD як адміністратор

Ця техніка передбачає перехоплення Okta AD Agent, спочатку отримуючи OAuth-код, а потім запитуючи токен API. Токен пов'язаний з доменом AD, і коннектор названий для створення фейкового AD агента. Ініціалізація дозволяє агенту обробляти спроби аутентифікації, захоплюючи облікові дані через API Okta. Інструменти автоматизації доступні для оптимізації цього процесу, пропонуючи безшовний метод перехоплення та обробки даних аутентифікації в середовищі Okta.

Перевірте атаку за посиланням https://trustedsec.com/blog/okta-for-red-teamers.

Фейковий постачальник SAML Okta

Перевірте атаку за посиланням https://trustedsec.com/blog/okta-for-red-teamers.

Техніка передбачає розгортання фейкового постачальника SAML. Інтегруючи зовнішнього постачальника ідентичності (IdP) в рамках Okta за допомогою привілейованого облікового запису, зловмисники можуть керувати IdP, схвалюючи будь-який запит на аутентифікацію за бажанням. Процес передбачає налаштування SAML 2.0 IdP в Okta, маніпулювання URL одноразового входу IdP для перенаправлення через файл локальних хостів, генерацію самопідписаного сертифіката та налаштування параметрів Okta для відповідності з ім'ям користувача або електронною поштою. Успішне виконання цих кроків дозволяє аутентифікацію як будь-якого користувача Okta, обходячи потребу в індивідуальних облікових даних користувача, значно підвищуючи контроль доступу в потенційно непомічений спосіб.

Pідловлення Okta Portal з Evilgnix

У цьому блозі пояснено, як підготувати кампанію фішингу проти порталу Okta.

Атака імітації колеги

Атрибути, які може мати і змінювати кожен користувач (наприклад, електронна пошта або ім'я) можуть бути налаштовані в Okta. Якщо додаток довіряє як ID атрибут, який користувач може змінювати, він зможе імітувати інших користувачів на цій платформі.

Отже, якщо додаток довіряє полю userName, ви, ймовірно, не зможете його змінити (оскільки зазвичай не можете змінити це поле), але якщо він довіряє, наприклад, primaryEmail, ви, можливо, зможете змінити його на адресу електронної пошти колеги та імітувати його (вам потрібно мати доступ до електронної пошти та погодити зміни).

Зверніть увагу, що ця імітація залежить від того, як був налаштований кожен додаток. Компромітовані будуть лише ті, які довіряють полю, яке ви змінили та приймають оновлення. Отже, додаток повинен мати це поле увімкненим, якщо воно існує:

Я також бачив інші додатки, які були вразливі, але не мали цього поля в налаштуваннях Okta (в кінці кінців, різні додатки налаштовані по-різному).

Найкращий спосіб дізнатися, чи можете ви імітувати кого завгодно на кожному додатку, - спробувати це!

Ухилення від політик виявлення поведінки

Політики виявлення поведінки в Okta можуть бути невідомі до зустрічі, але їх обхід можна досягти, цілячись на додатки Okta безпосередньо, уникненням головної панелі управління Okta. З токеном доступу Okta повторіть токен на URL, специфічний для додатка Okta, замість головної сторінки входу.

Основні рекомендації включають:

• Уникайте використання популярних анонімізаторів та VPN-сервісів під час повторення захоплених токенів доступу.

• Переконайтеся в однаковості рядків user-agent між клієнтом та повтореними токенами доступу.

• Утримуйтеся від повторення токенів від різних користувачів з однієї IP-адреси.

• Будьте обережні при повторенні токенів проти панелі управління Okta.

• Якщо ви знаєте IP-адреси компанії-жертви, обмежте трафік на ці IP-адреси або їх діапазон, блокуючи весь інший трафік.

Захист Okta

У Okta є багато можливих налаштувань, на цій сторінці ви знайдете, як їх переглянути, щоб вони були якомога безпечні:

Посилання

• https://trustedsec.com/blog/okta-for-red-teamers

• https://medium.com/nickvangilder/okta-for-red-teamers-perimeter-edition-c60cb8d53f23