Okta Veiligheid

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Basiese Inligting

Okta, Inc. word erken in die identiteit en toegangsbestuursektor vir sy wolk-gebaseerde sagtewareoplossings. Hierdie oplossings is ontwerp om gebruikersverifikasie oor verskeie moderne toepassings te stroomlyn en te beveilig. Hulle is nie net gerig op maatskappye wat hul sensitiewe data wil beskerm nie, maar ook op ontwikkelaars wat belangstel om identiteitsbeheer in toepassings, webdienste en toestelle te integreer.

Die vlaggies aanbod van Okta is die Okta Identiteitswolk. Hierdie platform sluit ’n suite van produkte in, insluitend maar nie beperk tot nie:

  • Enkele Aanmelding (SSO): Vereenvoudig gebruikers toegang deur een stel aanmeldbesonderhede oor verskeie toepassings toe te laat.
  • Multi-Factor Verifikasie (MFA): Versterk sekuriteit deur verskeie vorme van verifikasie te vereis.
  • Levensiklusbestuur: Automatiseer die skepping, opdatering en deaktivering van gebruikersrekeninge.
  • Universale Gids: Maak sentrale bestuur van gebruikers, groepe en toestelle moontlik.
  • API Toegang Bestuur: Beveilig en bestuur toegang tot API’s.

Hierdie dienste het as doel om dataprotectie te versterk en gebruikers toegang te stroomlyn, wat beide sekuriteit en gerief verbeter. Die veelsydigheid van Okta se oplossings maak dit ’n gewilde keuse oor verskeie bedrywe, voordelig vir groot ondernemings, klein maatskappye en individuele ontwikkelaars. Soos van die laaste opdatering in September 2021, word Okta erken as ’n prominente entiteit in die Identiteit en Toegangsbestuur (IAM) arena.

Caution

Die hoofdoel van Okta is om toegang tot verskillende gebruikers en groepe tot eksterne toepassings te konfigureer. As jy daarin slaag om administrateurregte in ’n Okta omgewing te kompromitteer, sal jy hoogs waarskynlik in staat wees om al die ander platforms wat die maatskappy gebruik te kompromitteer.

Tip

Om ’n sekuriteitsherziening van ’n Okta omgewing uit te voer, moet jy vra vir administrateur lees-slegs toegang.

Samevatting

Daar is gebruikers (wat kan wees gestoor in Okta, ingelogde van geconfigureerde Identiteitsverskaffers of geverifieer via Active Directory of LDAP).
Hierdie gebruikers kan binne groepe wees.
Daar is ook verifikators: verskillende opsies om te verifieer soos wagwoord, en verskeie 2FA soos WebAuthn, e-pos, telefoon, okta verify (hulle kan geaktiveer of gedeaktiveer wees)…

Dan is daar toepassings wat gesinkroniseer is met Okta. Elke toepassing sal ’n paar kaarte met Okta hê om inligting te deel (soos e-posadresse, voorname…). Boonop moet elke toepassing binne ’n Verifikasiebeleid wees, wat die nodige verifikators aandui vir ’n gebruiker om toegang tot die toepassing te verkry.

Caution

Die mees kragtige rol is Super Administrateur.

As ’n aanvaller Okta met Administrateur toegang kompromitteer, sal al die apps wat Okta vertrou hoogs waarskynlik gekompromitteer wees.

Aanvalle

Lokasie van Okta Portaal

Gewoonlik sal die portaal van ’n maatskappy geleë wees in companyname.okta.com. As dit nie so is nie, probeer eenvoudige variaties van companyname. As jy dit nie kan vind nie, is dit ook moontlik dat die organisasie ’n CNAME rekord het soos okta.companyname.com wat na die Okta portaal wys.

Aanmelding in Okta via Kerberos

As companyname.kerberos.okta.com aktief is, word Kerberos gebruik vir Okta toegang, wat tipies MFA vir Windows gebruikers omseil. Om Kerberos-geverifieerde Okta gebruikers in AD te vind, voer getST.py uit met geskikte parameters. Nadat jy ’n AD gebruikerskaart verkry het, injekteer dit in ’n beheerde gasheer met behulp van gereedskap soos Rubeus of Mimikatz, en verseker dat clientname.kerberos.okta.com in die Internet Opsies “Intranet” sone is. Toegang tot ’n spesifieke URL moet ’n JSON “OK” antwoord teruggee, wat die aanvaarding van die Kerberos kaart aandui, en toegang tot die Okta dashboard verleen.

Die kompromitering van die Okta diensrekening met die delegasie SPN stel ’n Silver Ticket aanval in staat. egter, Okta se gebruik van AES vir kaartversleuteling vereis dat die AES-sleutel of platte wagwoord besit word. Gebruik ticketer.py om ’n kaart vir die slagoffer gebruiker te genereer en lewer dit via die blaaier om met Okta te verifieer.

Kontroleer die aanval in https://trustedsec.com/blog/okta-for-red-teamers.

Kaap Okta AD Agent

Hierdie tegniek behels toegang tot die Okta AD Agent op ’n bediener, wat gebruikers sinkroniseer en verifikasie hanteer. Deur konfigurasies in OktaAgentService.exe.config te ondersoek en te ontsleutel, veral die AgentToken met behulp van DPAPI, kan ’n aanvaller potensieel verifikasiedata onderskep en manipuleer. Dit stel nie net in staat om te monitor en gebruikerswagwoorde in platte teks tydens die Okta verifikasieproses te vang nie, maar ook om te reageer op verifikasie pogings, wat ongeoorloofde toegang moontlik maak of universele verifikasie deur Okta bied (soos ’n ‘skelet sleutel’).

Kontroleer die aanval in https://trustedsec.com/blog/okta-for-red-teamers.

Kaap AD As ’n Admin

Hierdie tegniek behels die kaaping van ’n Okta AD Agent deur eers ’n OAuth Code te verkry, en dan ’n API-token aan te vra. Die token is geassosieer met ’n AD domein, en ’n connector word genoem om ’n vals AD agent te vestig. Inisialiserings laat die agent toe om verifikasie pogings te verwerk, wat wagwoorde via die Okta API vang. Outomatiseringsgereedskap is beskikbaar om hierdie proses te stroomlyn, wat ’n naatlose metode bied om verifikasiedata binne die Okta omgewing te onderskep en te hanteer.

Kontroleer die aanval in https://trustedsec.com/blog/okta-for-red-teamers.

Okta Vals SAML Verskaffer

Kontroleer die aanval in https://trustedsec.com/blog/okta-for-red-teamers.

Die tegniek behels die ontplooiing van ’n vals SAML verskaffer. Deur ’n eksterne Identiteitsverskaffer (IdP) binne Okta se raamwerk te integreer met behulp van ’n bevoorregte rekening, kan aanvallers die IdP beheer, enige verifikasie versoek na willekeur goedkeur. Die proses behels die opstelling van ’n SAML 2.0 IdP in Okta, die manipulasie van die IdP Enkele Aanmelding URL vir omleiding via die plaaslike gashere-lêer, die generering van ’n self-ondertekende sertifikaat, en die konfigurasie van Okta-instellings om teen die gebruikersnaam of e-pos te pas. Die suksesvolle uitvoering van hierdie stappe stel in staat om as enige Okta gebruiker te verifieer, wat die behoefte aan individuele gebruikerswagwoorde omseil, wat toegangbeheer in ’n potensieel onopgemerkte manier aansienlik verhoog.

Phishing Okta Portaal met Evilgnix

In hierdie blogpos word verduidelik hoe om ’n phishing veldtog teen ’n Okta portaal voor te berei.

Kollega Imersonasie Aanval

Die kenmerke wat elke gebruiker kan hê en wysig (soos e-pos of voornaam) kan in Okta geconfigureer word. As ’n toepassing as ID ’n kenmerk vertrou wat die gebruiker kan wysig, sal hy in staat wees om ander gebruikers in daardie platform te imiteer.

Daarom, as die app die veld userName vertrou, sal jy waarskynlik nie in staat wees om dit te verander nie (omdat jy gewoonlik nie daardie veld kan verander nie), maar as dit vertrou byvoorbeeld primaryEmail kan jy dalk dit na ’n kollega se e-posadres verander en dit imiteer (jy sal toegang tot die e-pos moet hê en die verandering moet aanvaar).

Let daarop dat hierdie imersonasie afhang van hoe elke toepassing geconfigureer is. Slegs diegene wat die veld wat jy gewysig het vertrou en opdaterings aanvaar, sal gekompromitteer word.
Daarom moet die app hierdie veld geaktiveer hê as dit bestaan:

Ek het ook ander apps gesien wat kwesbaar was maar nie daardie veld in die Okta instellings gehad het nie (aan die einde is verskillende apps anders geconfigureer).

Die beste manier om uit te vind of jy iemand op elke app kan imiteer, is om dit te probeer!

Ontwyking van gedragsdeteksiebeleide

Gedragsdeteksiebeleide in Okta mag onbekend wees totdat dit teëgekom word, maar omseiling daarvan kan bereik word deur direk op Okta toepassings te teiken, en die hoof Okta dashboard te vermy. Met ’n Okta toegangstoken, herhaal die token by die toepassing-spesifieke Okta URL in plaas van die hoof aanmeldblad.

Belangrike aanbevelings sluit in:

  • Vermy die gebruik van gewilde anonymiseringsproxies en VPN-dienste wanneer jy gevangenis toegangstokens herhaal.
  • Verseker konstante gebruikers-agent strings tussen die kliënt en herhaalde toegangstokens.
  • Vermy die herhaling van tokens van verskillende gebruikers vanaf dieselfde IP-adres.
  • Wees versigtig wanneer jy tokens teen die Okta dashboard herhaal.
  • As jy bewus is van die slagoffer maatskappy se IP-adresse, beperk verkeer tot daardie IP’s of hul reeks, en blokkeer alle ander verkeer.

Okta Versterking

Okta het baie moontlike konfigurasies, op hierdie bladsy sal jy vind hoe om dit te hersien sodat dit so veilig as moontlik is:

Okta Hardening

Verwysings

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks