Okta Security

Reading time: 7 minutes

Основна інформація

Okta, Inc. визнана в секторі управління ідентичністю та доступом за своїми хмарними програмними рішеннями. Ці рішення призначені для спрощення та забезпечення автентифікації користувачів у різних сучасних додатках. Вони орієнтовані не лише на компанії, які прагнуть захистити свої чутливі дані, але й на розробників, які зацікавлені в інтеграції контролю ідентичності в додатки, веб-сервіси та пристрої.

Флагманським продуктом Okta є Okta Identity Cloud. Ця платформа охоплює набір продуктів, включаючи, але не обмежуючись:

• Single Sign-On (SSO): Спрощує доступ користувачів, дозволяючи використовувати один набір облікових даних для кількох додатків.
• Multi-Factor Authentication (MFA): Підвищує безпеку, вимагаючи кілька форм перевірки.
• Lifecycle Management: Автоматизує процеси створення, оновлення та деактивації облікових записів користувачів.
• Universal Directory: Дозволяє централізоване управління користувачами, групами та пристроями.
• API Access Management: Захищає та управляє доступом до API.

Ці послуги колективно спрямовані на зміцнення захисту даних та спрощення доступу користувачів, підвищуючи як безпеку, так і зручність. Універсальність рішень Okta робить їх популярним вибором у різних галузях, корисним для великих підприємств, малих компаній та окремих розробників. Станом на останнє оновлення у вересні 2021 року, Okta визнана видатною компанією в сфері управління ідентичністю та доступом (IAM).

Резюме

Є користувачі (які можуть бути збережені в Okta, увійшли з налаштованих постачальників ідентичності або автентифіковані через Active Directory або LDAP).
Ці користувачі можуть бути в групах.
Є також автентифікатори: різні варіанти автентифікації, такі як пароль, та кілька 2FA, таких як WebAuthn, електронна пошта, телефон, okta verify (вони можуть бути увімкнені або вимкнені)...

Потім є додатки, синхронізовані з Okta. Кожен додаток матиме певне відображення з Okta для обміну інформацією (такою як адреси електронної пошти, імена...). Більше того, кожен додаток повинен бути в Політиці автентифікації, яка вказує на необхідні автентифікатори для користувача, щоб отримати доступ до додатка.

Атаки

Локалізація порталу Okta

Зазвичай портал компанії буде розташований за адресою companyname.okta.com. Якщо ні, спробуйте прості варіації companyname. Якщо ви не можете його знайти, також можливо, що організація має запис CNAME на кшталт okta.companyname.com, що вказує на портал Okta.

Увійти в Okta через Kerberos

Якщо companyname.kerberos.okta.com активний, Kerberos використовується для доступу до Okta, зазвичай обходячи MFA для Windows користувачів. Щоб знайти користувачів Okta, автентифікованих через Kerberos в AD, запустіть getST.py з відповідними параметрами. Отримавши квиток користувача AD, впровадьте його в контрольований хост, використовуючи такі інструменти, як Rubeus або Mimikatz, переконавшись, що clientname.kerberos.okta.com знаходиться в зоні "Інтранет" параметрів Інтернету. Доступ до конкретного URL повинен повернути JSON-відповідь "OK", що вказує на прийняття квитка Kerberos і надає доступ до панелі управління Okta.

Компрометація облікового запису служби Okta з делегованим SPN дозволяє провести атаку Silver Ticket. Однак використання Okta AES для шифрування квитків вимагає наявності ключа AES або пароля у відкритому вигляді. Використовуйте ticketer.py, щоб згенерувати квиток для жертви і доставити його через браузер для автентифікації в Okta.

Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.

Викрадення агента AD Okta

Ця техніка передбачає доступ до агента AD Okta на сервері, який синхронізує користувачів і обробляє автентифікацію. Вивчаючи та розшифровуючи конфігурації в OktaAgentService.exe.config, зокрема AgentToken, використовуючи DPAPI, зловмисник може потенційно перехоплювати та маніпулювати даними автентифікації. Це дозволяє не лише моніторити та захоплювати облікові дані користувачів у відкритому вигляді під час процесу автентифікації Okta, але й відповідати на спроби автентифікації, що дозволяє несанкціонований доступ або надає універсальну автентифікацію через Okta (подібно до "скелетного ключа").

Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.

Викрадення AD як адміністратор

Ця техніка передбачає викрадення агента AD Okta, спочатку отримавши код OAuth, а потім запитуючи токен API. Токен пов'язаний з доменом AD, і конектор називається для створення фальшивого агента AD. Ініціалізація дозволяє агенту обробляти спроби автентифікації, захоплюючи облікові дані через API Okta. Доступні автоматизаційні інструменти для спрощення цього процесу, пропонуючи безперешкодний метод перехоплення та обробки даних автентифікації в середовищі Okta.

Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.

Фальшивий постачальник SAML Okta

Перевірте атаку в https://trustedsec.com/blog/okta-for-red-teamers.

Техніка передбачає розгортання фальшивого постачальника SAML. Інтегруючи зовнішнього постачальника ідентичності (IdP) в рамках Okta за допомогою привілейованого облікового запису, зловмисники можуть контролювати IdP, схвалюючи будь-який запит на автентифікацію на свій розсуд. Процес передбачає налаштування SAML 2.0 IdP в Okta, маніпулювання URL для одноразового входу IdP для перенаправлення через локальний файл hosts, генерацію самопідписаного сертифіката та налаштування параметрів Okta для відповідності імені користувача або електронній пошті. Успішне виконання цих кроків дозволяє автентифікуватися як будь-який користувач Okta, обходячи необхідність унікальних облікових даних користувача, значно підвищуючи контроль доступу в потенційно непомітний спосіб.

Фішинг порталу Okta з Evilgnix

У цьому блозі пояснюється, як підготувати кампанію фішингу проти порталу Okta.

Атака на підроблення колеги

Атрибути, які може мати та змінювати кожен користувач (такі як електронна пошта або ім'я) можуть бути налаштовані в Okta. Якщо додаток довіряє як ID атрибуту, який користувач може змінити, він зможе видавати себе за інших користувачів на цій платформі.

Отже, якщо додаток довіряє полю userName, ви, ймовірно, не зможете його змінити (оскільки зазвичай не можна змінити це поле), але якщо він довіряє, наприклад, primaryEmail, ви можете змінити його на електронну адресу колеги та видати себе за нього (вам потрібно буде мати доступ до електронної пошти та прийняти зміну).

Зверніть увагу, що це підроблення залежить від того, як був налаштований кожен додаток. Лише ті, що довіряють полю, яке ви змінили, і приймають оновлення, будуть скомпрометовані.
Отже, додаток повинен мати це поле увімкненим, якщо воно існує:

Я також бачив інші додатки, які були вразливими, але не мали цього поля в налаштуваннях Okta (в кінці кінців, різні додатки налаштовуються по-різному).

Найкращий спосіб дізнатися, чи можете ви видати себе за когось у кожному додатку, - це спробувати це!

Уникнення політик виявлення поведінки

Політики виявлення поведінки в Okta можуть бути невідомими до їх зустрічі, але обхід їх можна досягти, націлюючись безпосередньо на додатки Okta, уникаючи основної панелі управління Okta. З токеном доступу Okta повторно використовуйте токен на URL конкретного додатка Okta замість основної сторінки входу.

Ключові рекомендації включають:

• Уникайте використання популярних анонімізуючих проксі та VPN-сервісів при повторному використанні захоплених токенів доступу.
• Переконайтеся, що рядки user-agent між клієнтом і повторно використаними токенами доступу є послідовними.
• Уникайте повторного використання токенів від різних користувачів з однієї IP-адреси.
• Будьте обережні при повторному використанні токенів проти панелі управління Okta.
• Якщо ви знаєте IP-адреси компанії жертви, обмежте трафік до цих IP-адрес або їх діапазону, блокуючи весь інший трафік.

Укріплення Okta

Okta має багато можливих конфігурацій, на цій сторінці ви знайдете, як їх перевірити, щоб вони були максимально безпечними:

Okta Hardening

Посилання

• https://trustedsec.com/blog/okta-for-red-teamers
• https://medium.com/nickvangilder/okta-for-red-teamers-perimeter-edition-c60cb8d53f23