Autentificeringsrisici opdaget i Okta Platform

Forskere har opdaget fire "high impact" sikkerhedsrisici i identitets- og adgangsstyringsplatformen Okta, ifølge en tirsdagsrapport.

Risiciene omfatter lækage af klartekst adgangskode via SCIM – Systemet til Identitetsstyring på tværs af domæner – deling af adgangskoder og andre data over ukrypterede HTTP-kanaler, standardkonfigurationer, der tillader administratorer at invadere andre organisationers it-miljøer, og foranderlig identitetslog spoofing.

Angribere, der drager fordel af disse risici, kan stjæle godkendelsesdata, få adgang til følsomme personlige og økonomiske oplysninger og forstyrre Okta-administrerede it-miljøer.

Risici i IAM

IAM-software organiserer, hvilke personer der har adgang til hvilke ressourcer i et it-miljø. Platforme som Okta tilbyder også funktioner som adgangskodeadministration og single sign-on, hvilket giver brugerne mulighed for mere problemfrit at logge på og flytte fra et softwaremiljø til et andet. I det hele taget er IAM'er ret praktiske for både brugere og administratorer.

En usikker IAM er dog praktisk for angribere af mange af de samme årsager. De nyopdagede risici i Okta kan tillade hackere eller ondsindede insidere at få adgangskoder, overtage administratorkonti eller endda ødelægge en hel organisations data.

Tag for eksempel den tredje risiko, der er skitseret i rapporten.

For globale og distribuerede organisationer bruger Okta en hub og eger arkitektur, hvor moderselskabet (“hub”) fører tilsyn med og leverer tjenester til de mindre uafhængige virksomheder (“eger”), det kontrollerer. Det, forskerne opdagede, er, at en administrator i en Okta-talte "kan efterligne enhver konto i hub'en og/eller en downstream-app forbundet til hub'en." Rapporten redegør for, hvordan dette kan ske, hypotetisk:

En lille virksomhed blev opkøbt af en stor Fortune 500. Selskabet forbandt det lille firmas Okta som talte til deres primære Okta, der fungerer som deres hub med standardkonfigurationen. En kompromitteret administrator fra den erhvervede virksomheds eger opnår superadmin-privilegier i hele deres Okta-hub ved at efterligne en superadministrator og opnår derfor fuld, ubegrænset adgang til virksomhedens hele samling af apps og tjenester.

Den lille virksomheds administrator kunne få adgang til andre virksomheders it-miljøer – inklusive det, der tilhører den store Fortune 500 selv – for at stjæle eller ødelægge følsomme data eller udnytte dataene til stort set alt andet.

Er disse sårbarheder?

Forskerne var omhyggelige med at karakterisere deres resultater som "risici" snarere end direkte sårbarheder. Da de kontaktede Okta, forklarede Okta, at "funktionerne fungerer som designet og bør ikke kategoriseres som sårbarheder." Hvordan kunne det være?

Overvej vores tidligere eksempel. Den lille virksomheds administrator kan få uautoriseret adgang til hubben og andre eger ved at oprette en bruger med samme identifikator som en admin i hubben. At to brugere i et gigantisk hub- og egermiljø kan have det samme brugernavn "er tilsigtet og beregnet til at gøre det nemmere at skalere adgangskontrol på tværs af organisationen, samtidig med at kontrollen begrænses til en specifik eger." Men i praksis udsætter de hub'en for enhver useriøs admin.

Okta tilbyder en måde at slå duplikering af brugernavne fra, men "disse kontroller er ikke indstillet som standard, hvilket gør brugeren potentielt usikker på de oprindelige indstillinger. Okta gør også lidt i deres guide for at forklare deres brugere, at de kan være i betydelig risiko fra disse usikre standardindstillinger."

"Okta har meget god sikkerhedspraksis på mange områder," bemærkede forskerne og tilføjede, at "vi er sikre på, at lignende problemer findes hos andre IAM-udbydere." Så i afslutningen af ​​deres undersøgelse er "vores anbefaling, at organisationer tager en proaktiv tilgang til at implementere uafhængige sikkerhedsløsninger til deres IAM-værktøjer."