身份服務(wù)提供商O(píng)kta周五披露了一起新的安全事件，黑客利用竊取的憑證訪問(wèn)了其支持案例管理系統(tǒng)。

Okta首席安全官David Bradbury表示：該攻擊者能夠查看部分Okta客戶上傳的文件。需要注意的是，Okta 支持案例管理系統(tǒng)與生產(chǎn)型 Okta 服務(wù)是分開(kāi)的，后者是正常運(yùn)行的，沒(méi)有受到影響。該公司還強(qiáng)調(diào)，其 Auth0/CIC 案例管理系統(tǒng)沒(méi)有受到此次漏洞的影響，并指出目前已經(jīng)直接通知了受到影響的客戶。

不過(guò)，該公司表示，客戶支持系統(tǒng)也被用于上傳 HTTP 存檔（HAR）文件，以復(fù)制最終用戶或管理員的錯(cuò)誤路徑來(lái)進(jìn)行故障排除。

Okta 警告說(shuō)：HAR 文件可能包含敏感數(shù)據(jù)，包括 cookie 和會(huì)話令牌，惡意行為者可以利用這些數(shù)據(jù)冒充有效用戶。Okta還進(jìn)一步表示，他們正在與受影響的客戶溝通，確保內(nèi)嵌的會(huì)話令牌被撤銷，以防止它們被濫用。

目前，Okta尚未透露攻擊的規(guī)模、事件發(fā)生的時(shí)間以及何時(shí)檢測(cè)到未經(jīng)授權(quán)的訪問(wèn)。盡管如此，BeyondTrust 和 Cloudflare 這兩家客戶已確認(rèn)在最新的支持系統(tǒng)攻擊中成為目標(biāo)。Cloudflare表示：威脅者從Cloudflare員工創(chuàng)建的怕憑證中劫持了一個(gè)會(huì)話令牌。利用從 Okta 提取的令牌，威脅者于 10 月 18 日訪問(wèn)了 Cloudflare 系統(tǒng)。

安全公司表示，這是一次復(fù)雜的攻擊，幕后的攻擊者入侵了Okta平臺(tái)上兩個(gè)獨(dú)立的Cloudflare員工賬戶。該公司強(qiáng)調(diào)，此次事件沒(méi)有導(dǎo)致任何客戶信息或系統(tǒng)被訪問(wèn)。

BeyondTrust表示，它已于2023年10月2日向Okta通報(bào)了這一漏洞，但對(duì)Cloudflare的攻擊表明，對(duì)手至少在2023年10月18日之前都可以訪問(wèn)他們的支持系統(tǒng)。

這家身份管理服務(wù)公司稱，其Okta管理員在10月2日向系統(tǒng)上傳了一個(gè)HAR文件，以解決一個(gè)支持問(wèn)題，并在共享文件后的30分鐘內(nèi)檢測(cè)到了涉及會(huì)話cookie的可疑活動(dòng)。針對(duì) BeyondTrust 的攻擊企圖最終沒(méi)有得逞。

BeyondTrust 發(fā)言人告訴記者：BeyondTrust 立即通過(guò)自己的身份識(shí)別工具 Identity Security Insights 檢測(cè)到并修復(fù)了這次攻擊，沒(méi)有對(duì) BeyondTrust 的基礎(chǔ)設(shè)施或客戶造成任何影響或暴露。

在過(guò)去的幾年中，Okta 公司遭遇了一系列安全事故，而此次事件是其中最新的一起。該公司已成為黑客的高價(jià)值目標(biāo)，因?yàn)槠鋯吸c(diǎn)登錄（SSO）服務(wù)被世界上一些大的公司所使用。

參考鏈接：https://thehackernews.com/2023/10/oktas-support-system-breach-exposes.html