Okta業務系統被黑導致客戶遭入侵，公司股價暴跌11%

國際身份軟件巨頭Okta的客戶支持系統被黑，導致客戶上傳的Cookie和會話令牌等敏感數據泄露，被攻擊者利用入侵了客戶網絡，目前已知ByondTrust、Cloudflare兩家公司受影響；

事件曝光后，Okta股票在上周五收盤時下跌了11%。

安全內參10月23日消息，美國企業身份軟件巨頭Okta表示，攻擊者使用竊取的憑證入侵其支持管理系統，訪問了包含客戶上傳的Cookie和會話令牌的文件。

Okta首席安全官David Bradbury表示：“威脅行為者能夠查看近期支持案例中某些Okta客戶上傳的文件。”

“值得注意的是，Okta支持案例管理系統與生產Okta服務是分開的，后者完全正常運行，沒有受到影響。”

David Bradbury補充說，這一事件不影響Auth0/CIC案例管理系統。Okta通知所有受事件影響的客戶，他們的Okta環境或支持工單受到了影響。如果客戶沒有收到警報，表明其未受影響。

會話令牌和Cookie遭泄露

Okta尚未提供此次入侵泄露或訪問的受影響客戶信息。不過，此次攻擊中被入侵的支持案例管理系統也存儲了HTTP存檔（HAR）文件，這些文件用于復制用戶或管理員錯誤，從而排除用戶報告的各種問題。

這些文件還包含敏感數據，例如Cookie和會話令牌。威脅行為者可能會使用這些數據來劫持客戶帳戶。

Okta在支持管理系統門戶網站上解釋：“HAR文件記錄了瀏覽器活動，可能包含敏感數據，包括訪問的頁面內容、Header、Cookie等數據。”

“Okta員工使用這些文件可以復制瀏覽器活動，并排除問題。然而，惡意行為者可能利用這些文件冒充您。”

在事件調查期間，Okta與受影響的客戶合作，吊銷了嵌入共享HAR文件的會話令牌。現在，Okta建議所有客戶清洗待分享的HAR文件，確保其中不包括憑證和Cookie/會話令牌。

Okta還分享了在調查期間觀察到的感染指標列表，包括與攻擊者相關的IP地址和Web瀏覽器用戶代理信息。

外媒BleepingComputer聯系Okta時，該公司發言人沒有回應有關入侵日期以及受到影響的客戶數量的問題。

不過，發言人表示，支持系統“與生產Okta服務分開，后者完全正常運行，沒有受到影響。我們已通知受影響客戶，并采取措施保護所有客戶。”

入侵者首次嘗試，

即被ByondTrust發現

身份管理公司BeyondTrust表示，他們是受影響的客戶之一，并對事件提供了更多見解。

2023年10月2日，BeyondTrust的安全團隊檢測到有人試圖使用從Okta支持系統竊取的Cookie登錄內部Okta管理員帳戶，并及時阻止了這一企圖。

BeyondTrust隨后聯系Okta，提供了顯示其支持組織遭到入侵的取證數據。然而，Okta花了兩個多星期才確認入侵。

BeyondTrust表示：“我們于2023年10月2日向Okta提出了關于入侵的擔憂。由于Okta始終沒有確認發生入侵，我們一直向Okta內部更高層級反映情況。直到2023年10月19日，Okta安全領導層才通知我們確實發生了入侵，我們也是受影響的客戶。”

BeyondTrust表示，由于“Okta的安全模型存在限制”，盡管這次入侵被“自定義策略控制”阻止，但惡意行為者仍然能夠執行“一些受限制的操作”。

盡管如此，該公司表示攻擊者未能訪問其任何系統，其客戶也未受影響。

BeyondTrust還分享了以下攻擊時間線：

• 2023年10月2日 - 檢測并消除對內部Okta管理員帳戶的身份中心攻擊，并通知Okta。
• 2023年10月3日 – 由于初始取證數據說明Okta支持組織遭到入侵，請求Okta支持團隊向更高層級的Okta安全團隊反映情況。
• 2023年10月11日、13日 - 與Okta安全團隊進行Zoom會話，解釋為什么認為他們可能受到入侵。
• 2023年10月19日 - Okta安全領導確認他們發生了內部入侵，BeyondTrust是受影響的客戶之一。

Cloudflare也受影響

2023年10月18日，Cloudflare也在服務器上發現了與Okta入侵有關的惡意活動。

Cloudflare表示：“盡管這起安全事件令人擔憂，但是我們的安全事件響應團隊（SIRT）進行實時檢測、迅速響應，控制了事件范圍，并盡量削弱了Cloudflare系統和數據受到的影響。”

“我們已經核實，此事件沒有影響到Cloudflare的任何客戶信息或系統。”

攻擊者從Okta支持系統竊取身份驗證令牌，利用令牌進行具有管理權限的開放會話，進入Cloudflare的Okta實例。

Cloudflare主動聯系了Okta。24小時后，Cloudflare才收到通知，確認Okta系統遭到入侵。

Cloudflare表示：“拿我們的案例來說，威脅行為者似乎能夠從Cloudflare員工創建的支持工單中劫持會話令牌。2023年10月18日，威脅行為者使用從Okta提取的令牌，訪問了Cloudflare系統。”

“這次攻擊十分復雜。我們觀察到威脅行為者入侵了Okta平臺內兩個獨立的Cloudflare員工帳戶。”

兩年內發生數起安全事件

Okta此前曾披露，Lapsus$數據勒索團體在2022年1月獲得該公司管理控制臺的訪問權限，此后曝光了一些客戶的數據。

2022年8月，Okta通過短信給客戶發送一次性密碼（OTP）。但是，這些密碼被名為Scatter Swine的威脅組織竊取。該組織于2022年8月入侵了云通信公司Twilio。

2022年9月，Okta旗下身份驗證服務提供商Auth0披露，黑客采用未知方法從其環境中竊取了一些較早的源代碼存儲庫。

2022年12月，Okta的私有GitHub存儲庫被黑客入侵。此后，公司披露了這起源代碼失竊事件。