Anche 1Password tra le vittime secondarie dell’attacco all’identity provider Okta
Nei giorni scorsi, la piattaforma di Identity-as-a-service Okta è stata colpita da un’altra violazione della sicurezza (la seconda in due anni), che questa volta ha permesso ai malintenzionati di accedere ai file sensibili dei clienti utilizzati per risolvere i ticket di assistenza. Okta ha reso noto l’accaduto sabato scorso in un post in cui il CSO dell’azienda, David Bradbury, ha rivelato che un attore “avversario” ha utilizzato credenziali rubate per accedere al sistema di gestione dei casi di assistenza di Okta, riuscendo così a mettere le mani sui file dell’archivio HTTP (HAR) utilizzati per replicare l’attività del browser per la risoluzione dei problemi.
“I file HAR possono contenere anche dati sensibili, tra cui cookie e token di sessione, che attori malintenzionati possono utilizzare per impersonare utenti validi”, ha scritto Bradbury. Okta ha subito avvertito i clienti interessati e se quindi non siete stati contattati, la vostra azienda non dovrebbe essere stata colpita. Okta raccomanda comunque a tutti i clienti di sanificare le credenziali, i cookie e i token di sessione nei file HAR come best practice prima di condividerli con chiunque.
Nel suo comunicato di sabato, Okta non ha fatto alcun riferimento all’impatto dell’attacco, ma le notizie riportate altrove indicano che l’aggressore potrebbe aver avuto accesso alla piattaforma di supporto per almeno due settimane prima che Okta si rendesse conto dell’accaduto. Uno dei clienti di Okta informati, BeyondTrust, ha dichiarato a KrebsOnSecurity di aver notificato a Okta un’attività probabilmente legata alla violazione del supporto il 2 ottobre, quando ha notato che qualcuno cercava di utilizzare un account Okta appartenente a un dipendente di BeyondTrust per creare un nuovo account amministratore nell’ambiente Okta.
BeyondTrust aveva condiviso un account HAR con Okta per un ticket di supporto appena 30 minuti prima di rilevare l’attività non autorizzata ed è arrivata alla conclusione che i cookie di sessione del file erano stati utilizzati dall’aggressore. Naturalmente, questo ha portato BeyondTrust a pensare che Okta stessa fosse stata violata, cosa che l’azienda ha inizialmente negato.
Secondo infatti quanto dichiarato il 2 ottobre a KrebsOnSecurity da Charlotte Wylie, vice CISO di Okta, l’incidente di BeyondTrust non era il risultato di un attacco a Okta. Pochi giorni fa però Wylie ha cambiato idea, ammettendo che è stato colpito un sottoinsieme molto, molto piccolo dei suoi clienti. “Si tratta di una minaccia nota che crediamo abbia preso di mira noi e clienti specifici di Okta“, ha dichiarato Wylie a Krebs, anche se non è chiaro chi possa essere il responsabile dell’attacco. Non è la prima volta tra l’altro che Okta subisce una violazione. Si tratta di una tendenza preoccupante per un’azienda che si occupa di gestione delle identità e degli accessi, soprattutto se si considera che quest’ultima violazione è stata causata da credenziali rubate.
Anche 1Password ha confermato di essere stata attaccata da criminali informatici dopo la violazione di Okta per la seconda volta in altrettanti anni, ma a quanto pare i dati di accesso dei clienti sono al sicuro. L’azienda ha dichiarato che l’attacco è stato rilevato inizialmente il 29 settembre da un membro del team IT dopo aver ricevuto un’e-mail con un report contenente un elenco di tutti gli amministratori di 1Password. Sapendo di non aver ordinato questo report, il team di risposta agli incidenti dell’azienda si è subito attivato. Ha individuato un indirizzo IP sospetto e in seguito ha capito che l’aggressore aveva avuto accesso all’istanza Okta dell’azienda con privilegi di amministratore.
L’indagine non ha rilevato alcuna prova di esfiltrazione di dati o di accesso a sistemi esterni a Okta. Gli aggressori sono stati invece osservati mentre cercavano di “non farsi notare” e di ottenere informazioni che potessero poi portare a un attacco più grande e sofisticato. “Abbiamo immediatamente interrotto l’attività, abbiamo indagato e non abbiamo riscontrato alcuna compromissione dei dati degli utenti o di altri sistemi sensibili, sia rivolti ai dipendenti che agli utenti” ha dichiarato Pedro Canahuati, CTO di 1Password, in un post.
L’attacco a 1Password è iniziato nello stesso modo in cui sono iniziati gli altri attacchi in questa nuova campagna, ovvero con l’accesso da parte dell’attaccante a un file di archivio HTTP (HAR) caricato sul portale di assistenza clienti di Okta. Il caricamento di file HAR sul portale di assistenza clienti di Okta è una pratica comune quando l’assistenza Okta è impegnata con un cliente. All’interno di questo file HAR c’erano informazioni sul traffico da e verso i server di Okta dal browser del membro del team IT. A un certo punto, dopo che 1Password ha contattato l’assistenza di Okta e prima che l’agente dell’assistenza interagisse con il file HAR, un aggressore è stato in grado di accedervi e di utilizzare la sessione per accedere al portale di amministrazione di Okta.
“Non abbiamo ancora capito come l’attaccante abbia ottenuto l’accesso a questa sessione, ma è stato confermato che il file HAR generato conteneva le informazioni necessarie a dirottare la sessione dell’utente”, si legge nel report di 1Password. Il Mac del dipendente IT è stato sottoposto a scansione alla ricerca di malware, ma non ha mostrato alcun segno di attività dannosa.