Uppdatering av hot från WithSecure™ Okta

Säkerhetsrådgivning

Sammanfattning

  • En finansiellt motiverad hotbildare för datautpressning, LAPSUS$, har hävdat att de har fått tillgång till identitetsleverantören Okta och har använt detta för att äventyra Oktas kunder. Vissa skärmdumpar som hotet delat med sig av verkar visa möjligheten att utföra administrativa åtgärder på ett användarkonto
  • WithSecure™ kan inte oberoende bekräfta intrånget eller konsekvenserna, men Oktas vd har twittrat för att bekräfta att en underprocessor drabbades av ett intrång som stämmer överens med en skärmdump som hotbildsaktivisten publicerat av vad som verkar vara ett internt system hos Okta
  • Okta används av många organisationer för att hantera åtkomst till moln- och SaaS-lösningar, och om Okta äventyras kan det få en stor potentiell påverkan på kritiska system för de drabbade organisationerna
  • WithSecure™ bedömer att det är troligt att den största risken från hotaktören LAPSUS$ är stöld av data för utpressning
  • WithSecure™ rekommenderar att organisationer vidtar proportionerliga åtgärder, enligt nedan, för att mildra eventuella konsekvenser av den potentiella kompromissen

Bakgrund

WithSecure™ är medveten om att en hotbildare har påstått att han har äventyrat identitetsleverantören Okta. Hotet, känt som LAPSUS$, hävdade på sin Telegramkanal att de hade tillgång till Okta och tillhandahöll skärmdumpar som visade tillgång till vad som verkar vara interna system hos Okta. Alla skärmdumparna verkar visa datumet den 21 januari 2022. WithSecure™ kan inte oberoende verifiera dessa skärmdumpar, men Oktas vd publicerade tweets[1] som tycks bekräfta att en supporttekniker på en underprocessor hade blivit komprometterad vid samma tidpunkt. Hotaktören[2] och Okta verkar bekräfta i sina inlägg att denna åtkomst inte längre finns.

Hotaktören LAPSUS$ har hävdat att de inte har dumpat några databaser från Okta och att de istället har fokuserat på Oktas kunder, som innehåller ett antal högprofilerade organisationer globalt. Det finns en skärmdump i deras dump som verkar visa att aktören har tillgång till ett konto som skulle göra det möjligt för dem att återställa lösenordet, generera ett tillfälligt lösenord, återställa Multi-Factor Access (MFA) och ändra grupper på kontot.

Hotaktören LAPSUS$ tycks använda sig av en ekonomiskt motiverad modell för datautpressning, där de stjäl data från organisationer och kräver betalning för att inte släppa dessa data offentligt. De har enligt uppgift varit inblandade i ett antal högprofilerade intrång som har omfattat Microsoft, NVIDIA, Samsung och Ubisoft[3] (WithSecure™ kan inte oberoende bekräfta dessa).

WithSecure™:s synpunkt

Okta används ofta av organisationer för att hantera åtkomst till moln- och SaaS-program. Om det är sant innebär kompromisserna med Okta en risk för organisationer som använder Okta eller organisationer vars leverantörer använder Okta. Eftersom hotpersonen har publicerat skärmdumpar av denna åtkomst och har visat att han kan få tillgång till andra högprofilerade organisationer, oavsett om de är relaterade till denna kompromiss eller inte, är det en trovärdig risk som WithSecure™ rekommenderar att organisationer vidtar proportionerliga åtgärder för att minska. WithSecure™ bedömer att det är troligt att den huvudsakliga risken från hotaktören LAPSUS$ är stöld av data för utpressning.

Minst

  • Om du inte redan har gjort det, fastställ och dokumentera din exponering för Okta direkt och genom dina leverantörer/tredje parter
  • Bestäm utifrån exponeringen vilka kritiska data som kan vara exponerade och fokusera begränsnings- och svarsåtgärderna på dessa system
  • Byta och uppdatera alla autentiseringsuppgifter som rör administrationen av Okta i din organisation
  • Bevara Okta-loggar sedan början av året för att säkerställa att inga loggar går förlorade på grund av begränsningar eller rensning
  • Granska Okta-loggar som rör administrationen av Okta-konton och åtkomst för att se om det finns några tecken på kompromiss eller missbruk sedan början av året[4]

Att tänka på

  • Granska MFA-relaterad åtkomst för alla Okta-konton för att bekräfta om åtkomst har lagts till eller manipulerats sedan början av året
  • Granska alla autentiseringsloggar relaterade till Okta för att se om de har använts på ett avvikande eller skadligt sätt sedan början av året
  • Granska loggar som kan visa att gamla konton har aktiverats på nytt och att lösenord har återställts
  • Implementera logik för upptäckt av skadlig aktivitet med anknytning till Okta. Det finns en del befintlig detektionslogik i öppen källkod som kan användas som vägledning för denna aktivitet [5][6]
  • Även om ingen effekt har bekräftats kan det vara klokt att cykla alla autentiseringsuppgifter relaterade till Okta för din organisation om den resulterande effekten av sådan aktivitet bedöms vara låg i förhållande till effekten av missbruk av dessa autentiseringsuppgifter. I de flesta fall är det osannolikt att detta faktiskt är motiverat, men det kan vara för mycket för din organisations riskbenägenhet att inte göra det.

Referenser

[1] - https://twitter.com/toddmckinnon/status/1506184721922859010

[2] - https://twitter.com/_MG_/status/1506109152665382920/photo/1

[3] - https://www.wired.com/story/lapsus-hacking-group-extortion-nvidia-samsung/

[4] - https://help.okta.com/en/prod/Content/Topics/Reports/Reports_SysLog.htm  

[5] - https://github.com/elastic/detection-rules/tree/main/rules/integrations/okta  

[6] - https://github.com/SigmaHQ/sigma/tree/master/rules/cloud/okta

    Beskrivning

  • Uppdatering av hot från WithSecure™ Okta

    • Datum

  • 22.03.2022