Okta Security

Reading time: 8 minutes

Basic Information

Okta, Inc. inatambuliwa katika sekta ya usimamizi wa utambulisho na ufikiaji kwa ajili ya suluhisho zake za programu za msingi wa wingu. Suluhisho hizi zimeundwa ili kuboresha na kulinda uthibitishaji wa watumiaji katika programu mbalimbali za kisasa. Zinahudumia si tu kampuni zinazolenga kulinda data zao nyeti bali pia waendelezaji wanaovutiwa na kuunganisha udhibiti wa utambulisho katika programu, huduma za mtandao, na vifaa.

Kutoa kuu kutoka Okta ni Okta Identity Cloud. Jukwaa hili linajumuisha seti ya bidhaa, ikiwa ni pamoja na lakini sio tu:

• Single Sign-On (SSO): Inarahisisha ufikiaji wa mtumiaji kwa kuruhusu seti moja ya akauti za kuingia katika programu nyingi.
• Multi-Factor Authentication (MFA): Inaboresha usalama kwa kuhitaji aina nyingi za uthibitisho.
• Lifecycle Management: Inafanya mchakato wa kuunda, kuboresha, na kufuta akaunti za watumiaji kuwa wa kiotomatiki.
• Universal Directory: Inaruhusu usimamizi wa kati wa watumiaji, vikundi, na vifaa.
• API Access Management: Inalinda na kusimamia ufikiaji wa APIs.

Huduma hizi kwa pamoja zinakusudia kuimarisha ulinzi wa data na kuboresha ufikiaji wa watumiaji, kuimarisha usalama na urahisi. Uwezo wa suluhisho za Okta unafanya kuwa chaguo maarufu katika sekta mbalimbali, zikiwa na manufaa kwa makampuni makubwa, kampuni ndogo, na waendelezaji binafsi. Kufikia sasisho la mwisho mnamo Septemba 2021, Okta inatambuliwa kama chombo muhimu katika eneo la Usimamizi wa Utambulisho na Ufikiaji (IAM).

Summary

Kuna watumiaji (ambao wanaweza kuhifadhiwa katika Okta, kuingia kutoka Watoa Utambulisho waliowekwa au kuthibitishwa kupitia Active Directory au LDAP).
Watumiaji hawa wanaweza kuwa ndani ya vikundi.
Kuna pia wauthenticators: chaguzi tofauti za kuthibitisha kama nywila, na 2FA kadhaa kama WebAuthn, barua pepe, simu, okta verify (zinaweza kuwa zimewezeshwa au kuzuiliwa)...

Kisha, kuna programu zilizounganishwa na Okta. Kila programu itakuwa na ramani na Okta ili kushiriki taarifa (kama anwani za barua pepe, majina ya kwanza...). Aidha, kila programu lazima iwe ndani ya Sera ya Uthibitishaji, ambayo inaonyesha wauthenticators zinazohitajika kwa mtumiaji ili kuingia kwenye programu.

Attacks

Locating Okta Portal

Kawaida lango la kampuni litakuwa katika companyname.okta.com. Ikiwa sivyo, jaribu mabadiliko rahisi ya companyname. Ikiwa huwezi kulipata, pia inawezekana kwamba shirika lina rekodi ya CNAME kama okta.companyname.com ikielekeza kwenye Okta portal.

Login in Okta via Kerberos

Ikiwa companyname.kerberos.okta.com inafanya kazi, Kerberos inatumika kwa ufikiaji wa Okta, kawaida ikiepuka MFA kwa watumiaji wa Windows. Ili kupata watumiaji wa Okta walioidhinishwa na Kerberos katika AD, endesha getST.py na parameta zinazofaa. Baada ya kupata tiketi ya mtumiaji wa AD, ingiza kwenye mwenyeji aliye na udhibiti kwa kutumia zana kama Rubeus au Mimikatz, kuhakikisha clientname.kerberos.okta.com iko katika eneo la "Intranet" la Chaguzi za Mtandao. Kufikia URL maalum kunapaswa kurudisha jibu la JSON "OK", ikionyesha kukubaliwa kwa tiketi ya Kerberos, na kutoa ufikiaji wa dashibodi ya Okta.

Kudhoofisha akaunti ya huduma ya Okta na SPN ya uwakilishi inaruhusu shambulio la Silver Ticket. Hata hivyo, matumizi ya Okta ya AES kwa ajili ya usimbaji wa tiketi yanahitaji kuwa na ufunguo wa AES au nywila ya wazi. Tumia ticketer.py kutengeneza tiketi kwa mtumiaji wa kidhulumu na kuisambaza kupitia kivinjari ili kuthibitisha na Okta.

Check the attack in https://trustedsec.com/blog/okta-for-red-teamers.

Hijacking Okta AD Agent

Teknolojia hii inahusisha kupata Okta AD Agent kwenye seva, ambayo inasawazisha watumiaji na kushughulikia uthibitishaji. Kwa kuchunguza na kufichua mipangilio katika OktaAgentService.exe.config, hasa AgentToken kwa kutumia DPAPI, mshambuliaji anaweza kwa urahisi kukamata na kubadilisha data za uthibitishaji. Hii inaruhusu si tu kuangalia na kukamata akauti za watumiaji kwa wazi wakati wa mchakato wa uthibitishaji wa Okta bali pia kujibu majaribio ya uthibitishaji, hivyo kuruhusu ufikiaji usioidhinishwa au kutoa uthibitishaji wa ulimwengu wote kupitia Okta (kama funguo 'skeleton').

Check the attack in https://trustedsec.com/blog/okta-for-red-teamers.

Hijacking AD As an Admin

Teknolojia hii inahusisha kudhibiti Okta AD Agent kwa kwanza kupata OAuth Code, kisha kuomba token ya API. Token hiyo inahusishwa na eneo la AD, na kiunganishi kinaitwa kuanzisha wakala wa AD wa uwongo. Kuanzisha kunaruhusu wakala kushughulikia majaribio ya uthibitishaji, kukamata akauti kupitia API ya Okta. Zana za kiotomatiki zinapatikana ili kurahisisha mchakato huu, zikitoa njia isiyo na mshono ya kukamata na kushughulikia data za uthibitishaji ndani ya mazingira ya Okta.

Check the attack in https://trustedsec.com/blog/okta-for-red-teamers.

Okta Fake SAML Provider

Check the attack in https://trustedsec.com/blog/okta-for-red-teamers.

Teknolojia hii inahusisha kuanzisha mtoa huduma wa SAML wa uwongo. Kwa kuunganisha Mtoa Utambulisho wa nje (IdP) ndani ya mfumo wa Okta kwa kutumia akaunti yenye mamlaka, washambuliaji wanaweza kudhibiti IdP, wakikubali ombi lolote la uthibitishaji kwa hiari. Mchakato huu unajumuisha kuanzisha IdP ya SAML 2.0 katika Okta, kubadilisha URL ya SSO ya IdP kwa ajili ya kuelekeza kupitia faili ya wenyeji wa ndani, kutengeneza cheti kilichojisajili, na kuunda mipangilio ya Okta ili kulinganisha dhidi ya jina la mtumiaji au barua pepe. Kutekeleza hatua hizi kwa mafanikio kunaruhusu uthibitishaji kama mtumiaji yeyote wa Okta, ikiepuka hitaji la akauti za mtumiaji binafsi, na kuimarisha udhibiti wa ufikiaji kwa njia isiyoonekana.

Phishing Okta Portal with Evilgnix

Katika hiki kipande cha blog kinaelezewa jinsi ya kuandaa kampeni ya uvuvi dhidi ya lango la Okta.

Colleague Impersonation Attack

sifa ambazo kila mtumiaji anaweza kuwa nazo na kubadilisha (kama barua pepe au jina la kwanza) zinaweza kuundwa katika Okta. Ikiwa programu inakubali kama ID sifa ambayo mtumiaji anaweza kubadilisha, ataweza kujifanya kuwa watumiaji wengine katika jukwaa hilo.

Hivyo, ikiwa programu inakubali uwanja userName, huenda usiweze kuubadilisha (kwa sababu kawaida huwezi kubadilisha uwanja huo), lakini ikiwa inakubali kwa mfano primaryEmail unaweza kuwa na uwezo wa kuubadilisha kuwa anwani ya barua pepe ya mwenzako na kujifanya (utahitaji kuwa na ufikiaji wa barua pepe na kukubali mabadiliko).

Kumbuka kwamba hii kujifanya inategemea jinsi kila programu ilivyoundwa. Ni zile tu zinazokubali uwanja uliohubiriwa na kukubali masasisho zitakazodhuriwa.
Hivyo, programu inapaswa kuwa na uwanja huu umewezeshwa ikiwa upo:

Nimeona pia programu nyingine ambazo zilikuwa na udhaifu lakini hazikuwa na uwanja huo katika mipangilio ya Okta (mwishowe programu tofauti zimeundwa tofauti).

Njia bora ya kujua ikiwa unaweza kujifanya kuwa mtu yeyote kwenye kila programu itakuwa kujaribu!

Evading behavioural detection policies

Sera za kugundua tabia katika Okta zinaweza kuwa hazijulikani hadi zipatikane, lakini kuziepuka kunaweza kufikiwa kwa kulenga programu za Okta moja kwa moja, kuepuka dashibodi kuu ya Okta. Kwa kutumia token ya ufikiaji wa Okta, rudia token hiyo kwenye URL maalum ya Okta ya programu badala ya ukurasa kuu wa kuingia.

Mapendekezo muhimu ni pamoja na:

• Epuka kutumia proxies maarufu za kujificha na huduma za VPN unapofanya rudia token za ufikiaji zilizokamatwa.
• Hakikisha mifumo ya mtumiaji inayofanana kati ya mteja na token za ufikiaji zilizorudiwa.
• Epuka kurudia token kutoka kwa watumiaji tofauti kutoka anwani moja ya IP.
• Fanya makini unapofanya rudia token dhidi ya dashibodi ya Okta.
• Ikiwa unajua anwani za IP za kampuni ya kidhulumu, punguza trafiki kwa hizo IP au anuwai yao, ukizuia trafiki nyingine zote.

Okta Hardening

Okta ina mipangilio mingi inayowezekana, katika ukurasa huu utaona jinsi ya kuzikagua ili ziwe salama kadri inavyowezekana:

Okta Hardening

References

• https://trustedsec.com/blog/okta-for-red-teamers
• https://medium.com/nickvangilder/okta-for-red-teamers-perimeter-edition-c60cb8d53f23