Okta 支持系统遭攻陷，已有Cloudflare、1Password等三家客户受影响

综合编译代码卫士 2024-07-14

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Okta 指出，攻击者利用被盗凭据，访问了由客户上传到支持管理系统的文件，内含 cookie 和会话令牌等。目前，BeyondTrust、Cloudflare 和 1Password 三家厂商已知受影响。

Okta 公司的首席安全官 David Bradbury 指出，‘’威胁行动者能够查看最近支持案例中某些客户上传的文件。应该注意的是，Okta 支持案例管理系统不同于Okta 生产服务，后者目前运行正常并未受影响。”他还提到，该事件并不影响 Autho/CIC 案例管理系统。Okta 已通知了所有因该事件而导致Okta环境或支持工单受影响的客户。如未受到警报邮件，则说明未受影响。

会话令牌和cookie遭暴露

虽然Okta 尚未详述遭暴露或遭访问的客户信息是什么，但受陷的支持案例管理系统被用于存储复刻用户或管理员错误以处理多种用户问题的 HTTP Archive (HAR) 文件。另外，该系统中还包括敏感数据，如cookie 和会话令牌，它们可被用于劫持客户账户。

Okta 公司在支持网站上提到，“这些数据可使 Okta 员工复刻浏览器活动并解决问题，不过恶意人员也可利用这些文件假冒用户。”

目前，Okta 公司正在与受影响客户一起开展调查并撤销内嵌在共享HAR文件中的会话令牌。Okta 公司建议所有客户在共享前清理 HAR 文件，以确保其中不含凭据和 cookie/会话令牌。该公司还共享了调查中观察到的妥协指标，包括与攻击者相关联的IP地址和 web 浏览器 user-agent 信息。

Okta 并未就事件本身以及受影响客户数量等问题做出回应。该公司的发言人表示该支持系统“独立于Okta生产服务，后者运行正常且不受影响。我们已通知受影响客户并采取措施保护客户安全”。

由 BeyondTrust 公司发现

身份管理公司 BeyondTrust 表示自己是受影响的客户之一，并提供了相关事件信息。

BeyongTrust 公司指出，安全团队检测并拦截了10月2日利用Okta 支持系统被盗 cookie 而登录Okta内部管理员账户的尝试。虽然与Okta 公司进行联系并提供了受攻陷的取证数据，但Okta 花了两周的时间才证实这起事件。

BeyondTrust 表示，“我们在10月2日向 Okta 提起攻陷担忧。在没有收到 Okta 关于可能存在攻陷事件的证实后，我们坚持在Okta 公司内部升级此事，10月19日，Okta 安全管理层通知我们称确实遭受攻陷，而我们是受影响客户之一。”

BeyondTrust 表示，通过“自定义策略控制”阻击了该攻击，但由于“Okta 安全模型中的限制条件”，恶意人员鞥能够执行“一些受陷操作”。尽管如此，BeyondTrust 公司表示，攻击者并未获得对公司任何系统的访问权限，而其客户并未受影响。

BeyondTrust 公司还发布了沟通时间线：

2023年10月2日：在Okta 内部管理员账号中检测并修复了以身份为核心的攻击，并告知OKkta。
2023年10月3日：鉴于已有初始取证表明Okta支持组织机构内存在攻陷情况，因此要求 Okta 支持团队将事件升级到 Okta 安全团队处。
2023年10月11日和10月13日：与 Okta 安全团队通过Zoom 会话解释为何我们认为他们已遭攻陷。
2023年10月19日：Okta 安全管理层证实内部遭攻陷，并表示 BeyondTrust 是受影响客户之一。

Cloudflare 也受影响

Cloudflare 公司也于10月18日在自家服务器上发现了与 Okta 攻陷相关的恶意活动。该公司表示，“虽然这起安全事件仍然担忧，但得益于我们安全事件响应团队的检测和及时响应，阻断并将对Cloudflare 系统和数据的影响最小化。我们已证实，Cloudflare 客户信息或系统并未受影响。”

Cloudflare 在收到遭攻击警报的24小时前，联系了 Okta公司。Cloudflare 公司提到，“在我们的场景中，威胁行动者能够劫持由 Cloudflare 员工创建的支持工单中的一个会话令牌。通过从Okta提取的令牌，威胁行动者在10月18日访问了 Cloudflare 系统。在这起复杂攻击中，我们观察到威胁行动者攻陷了 Okta 平台中两名 Cloudflare 员工的账号。”

1Password 遭攻击，与Okta 事件有关

服务10多万企业客户的热门密码管理平台 1Password 在 Okta 公司 ID 管理租户遭黑客访问后，也遭受安全攻击。

1Password 公司的首席技术官 Pedro Canahuati在一份简短的事件通知中写道，“我们在与支持系统事件相关联的 Okta 实例中检测到可疑活动。经过全面调查后，我们认为1Password 用户数据并未遭访问。9月29日，我们在用于管理面向员工的应用的Okta 实例中检测到可疑活动。我们立即终止该活动，展开调查，结果并未发现用户数据遭攻陷或在敏感系统如员工或用户向应用中发现攻陷情况。”

1Password 在本周一下午发布的报告中指出，攻击者利用被盗的IT员工会话 cookie 攻陷了 Okta 租户。

1Password 在报告中表示，“与 Okta 支持部门协作发现，该事件与一起已知事件存在相似之处。在已知事件中，威胁行动者将攻陷超级管理员账户，之后尝试操纵认证流并设立第二级身份提供商模拟受影响组织机构中的用户。”

1Password 在报告中提到，1Password IT 团队的一名成员通过 Okta 设立了一个支持案例，并提供了通过 Chrome Dev Tools 创建的一份 HAR 文件。该文件中包含用于越权访问 Okta 管理员门户网站的同样的 Okta 认证会话。通过使用该访问权限，攻击者可执行如下操作：