1Password 确认,在 Okta 多年来第二次被破坏后,它受到了网络犯罪分子的攻击,但表示客户的登录详细信息是安全的。
该组织表示,这次攻击最初是由 1Password 的 IT 团队成员于 9 月 29 日发现的,当时他们收到一封电子邮件,表明他们已订购一份包含所有 1Password 管理员列表的报告。
公司的事件响应团队知道他们没有订购这份报告,因此很快就介入了。他们发现了一个可疑的 IP 地址,后来意识到未知攻击者以管理员权限访问了该公司的 Okta 实例。
调查没有发现数据泄露或访问 Okta 之外任何系统的证据。相反,攻击者被观察到试图“低调”并寻找情报,这些情报可能会导致更大规模、更复杂的攻击。
1Password 首席技术官 Pedro Canahuati 在博客文章中表示:“我们立即终止了该活动,进行了调查,发现用户数据或其他敏感系统(无论是面向员工还是面向用户)都没有受到损害。”
在从网络中删除之前,攻击者执行的操作包括:
- 尝试访问 1Password IT 员工的用户仪表板(Okta 阻止了此操作)
- 更新了与 1Password 的 Google 生产环境关联的现有身份提供商 (IDP),以冒充该公司的用户
- 请求所有管理员用户的报告
对 1Password 的攻击以与其他人在这个新活动中相同的方式开始,攻击者访问上传到 Okta 客户支持门户的 HTTP Archive (HAR) 文件。
当 Okta 支持与客户接洽时,将 HAR 文件上传到 Okta 的客户支持门户是常见做法。
该 HAR 文件中包含有关 IT 团队成员浏览器往返 Okta 服务器的流量的信息,而且其中还包含其他数据,例如会话 cookie。
根据事件响应报告,在 1Password 寻求 Okta 的支持后、支持代理与 HAR 文件交互之前的某个时刻,攻击者能够访问该文件并使用该会话访问 Okta 的管理门户。
报告中写道:“尽管已确认生成的 HAR 文件包含攻击者劫持用户会话所需的信息,但尚不清楚攻击者如何获得此会话的访问权限。”
“IT 部门创建了一个 HAR 文件,安全部门使用 Burp Suite 强制浏览器使用 HAR 文件中捕获的会话 cookie 来重现事件事件,从而证实了这一点。”
最初,人们对如何进行这一工作存在一些困惑。最初的调查集中在 Okta 方面,但日志显示攻击者的行为全部发生在 Okta 支持代理访问 HAR 文件之前,从而消除了存在流氓支持人员的可能性。
随后,人们的注意力转向了 1Password IT 员工,他通过酒店的公共 Wi-Fi 网络上传了 HAR 文件,但这一途径也被证明是徒劳的。
“根据对文件创建和上传方式、Okta 对 TLS 和 HSTS 的使用以及之前使用同一浏览器访问 Okta 的分析,我们相信不存在任何可能暴露这些数据的窗口。 Wi-Fi 网络,或以其他方式受到拦截。”
最后,对 IT 员工的 macOS 计算机进行了恶意软件扫描,但无论是在他们的计算机上还是在他们的用户帐户上都没有显示任何恶意活动的迹象。
主要怀疑仍然是恶意软件,直到上周 Okta 向包括 1Password 在内的许多客户公开了其面临的问题。攻击者能够破坏 Okta 的内部支持系统,这就是他们在将 1Password IT 团队成员的 HAR 文件发送给 Okta 支持后能够访问该文件的方式。
入侵终止后,IT 团队成员的凭据进行了轮换,他们的 Yubikey 是完成 MFA 保护措施的唯一方法。
该公司的 Okta 实例还进行了许多配置更改,包括收紧 MFA 规则、减少管理会话时间和超级管理员帐户数量,以及拒绝非 Okta IDP 登录。
1Password 与 BeyondTrust 和 Cloudflare 一起跻身知名客户名单,减轻了 Okta 问题带来的攻击。
Cloudflare 很快强调,这是 Okta 第二次因安全故障而导致这家 Web 性能和安全公司遭受攻击。
2022 年 3 月,据透露,在五天的时间内,Lapsus$ 攻击者远程访问了 Okta 支持工程师的计算机,但 Cloudflare 没有发现其 Okta 租户受到真正危害的证据。
当时,根据攻击者发布的屏幕截图,他们的访问级别表明他们有权更改客户的用户密码,但这不会影响 Cloudflare,因为它使用密码和硬件密钥的组合进行 MFA。
与 1Password 案例类似,Cloudflare 会话令牌在使用 Okta 支持创建后被劫持。 Cloudflare 表示,在 Okta 通知它之前超过 24 小时,它能够检测并缓解对其 Okta 实例的入侵。