Okta-agentti mukana MGM Resorts -loukkauksessa, hyökkääjät väittävät

Huomautus: Tämä tarina on päivitetty sisältämään Oktan turvallisuuspäällikön David Bradburyn kommentit.

Uhkatoimijat, joiden uskotaan olevan viime viikon MGM Resortsin ja Caesars Entertainmentin kyberhyökkäysten takana, sanovat nyt pystyneensä murtautumaan MGM:n järjestelmiin murtautumalla jollain tavalla yrityksen Okta-alustaan, erityisesti Okta Agentiin, joka on kevyt asiakas, joka muodostaa yhteyden organisaation Active Directoryyn.

Okta on suosittu identiteetin ja pääsynhallinnan (IAM) tarjoaja pilven puolesta.

"MGM teki hätäisen päätöksen sulkea kaikki Okta Sync -palvelimensa saatuaan tietää, että olimme piileskellyt heidän Okta Agent -palvelimissa haistelemassa salasanoja ihmisiltä, ​​joiden salasanoja ei voitu murtaa heidän verkkotunnuksen ohjaimen hash-vedoksista", ALPHV kirjoitti vuotosivustollaan lausunnossaan, jonka Emsisoftin tutkija Brett Callow tweeted out. "Tämä johti siihen, että heidän Oktansa oli täysin poissa."

ALPHV:n lausunnossa lisättiin, että väijyttyään Oktassa päivän ja kerättyään salasanoja, uhkaryhmä käynnisti sitten kiristysohjelmien kyberhyökkäyksiä yli 1,000 11 ESXi-hypervisoria vastaan ​​syyskuun XNUMX. päivänä, "...yritettyään ottaa yhteyttä [MGM:ään] mutta epäonnistuessa "lausunnossa sanottiin.

Kiristysohjelmaryhmä teki selväksi, että MGM Resorts ei neuvottele heidän kanssaan ja uhkaa jatkotoimilla, jos rahoitusjärjestelyä ei tehdä.

"Meillä on edelleen pääsy joihinkin MGM:n infrastruktuuriin", ALPHV:n lausunnossa todettiin. "Jos sopimukseen ei päästä, teemme lisähyökkäyksiä." Ryhmä kertoi myös julkaisevansa suodattamansa tiedot Have I Been Pwnedistä Troy Huntille, jotta se paljastaisi vastuullisesti, jos hän niin päätti.

ALPHV (alias BlackCat) on ransomware as a service (RaaS) -operaattorin nimi, joka tarjosi uhkaryhmä Scattered Spider haittaohjelmien ja tukipalvelujen avulla kasinon kyberhyökkäykset.

Oktan elokuun varoitus sosiaalisista hyökkäyksistä

Oktan turvallisuuspäällikkö David Bradbury vahvistaa, että MGM:n kyberhyökkäyksessä oli sosiaalinen suunnittelukomponentti, mutta lisää, että se onnistui, koska uhkatoimijat olivat riittävän kehittyneitä ottaakseen käyttöön oman identiteetintarjoajan (IDP) ja käyttäjätietokantansa Okta-järjestelmään.

"Ihminen osa oli yksinkertainen, mutta myöhempi osa hyökkäyksestä oli monimutkainen", hän sanoo.

Mahdollisuus luoda useita identiteettialaryhmiä on Okta-järjestelmän ominaisuus, ei virhe, Bradbury lisää. Hän ehdottaa visuaalisen varmistusvaiheen lisäämistä helpdeskiin vain käyttäjille, joilla on korkeimmat käyttöoikeudet, mikä lopettaisi nämä kyberhyökkäykset.

Okta varoitti tämän tyyppisten manipulointihyökkäysten mahdollisuuksista 31. elokuuta annetulla varoituksella, jossa kerrotaan yksityiskohtaisesti Okta-järjestelmien yrityksistä saada erittäin etuoikeutettu pääsy sosiaalisen manipuloinnin avulla.

"Viime viikkoina useat yhdysvaltalaiset Okta-asiakkaat ovat raportoineet johdonmukaisesta mallista sosiaalisen suunnittelun hyökkäyksiä IT-palvelupisteen henkilöstöä vastaan, jossa soittajan strategiana oli saada huoltopisteen henkilökunta nollaamaan kaikki etuoikeutettujen käyttäjien rekisteröimät monitekijätodennustekijät, Okta varoitti. "Hyökkääjät hyödynsivät kompromissejaan erittäin etuoikeutettujen Okta Super Administrator -tilien suhteen käyttääkseen väärin laillisia identiteetin liittämisen ominaisuuksia, joiden ansiosta he saattoivat esiintyä käyttäjinä vaarantuneen organisaation sisällä."

Okta on myös ollut hyvin julkinen siitä suhde MGM:ään, työskentelee vieraanvaraisuusyrityksen kanssa tarjotakseen "rakennuspalikoita äärimmäiseen vierailijakokemukseen" sen verkkosivuston mukaan.

Bradbury sanoo, että Okta jatkaa työskentelyä Caesarin ja MGM:n kanssa reagoinnin ja toipumisen suhteen, mikä vahvistaa myös Oktan roolin Caesars-loukkauksessa.

Todennäköisesti uusi aalto MFA:n väärinkäytöstä

Huolestuttavaa on, että Critical Startin uhkatutkimuksen johtajan Callie Guentherin mukaan tämä voi olla ensimmäinen kyberhyökkäysten uudessa aallossa, joka kohdistuu korkea-oikeudellisiin käyttäjiin. Okta on loppujen lopuksi jo suosittu kohde kyberrikollisuuden toimijoiden keskuudessa.

"Okta on luonnollisesti houkutteleva kohde, koska se on keskeinen monien organisaatioiden IAM-strategioissa", Guenther sanoo. "Tärkeintä ei ole nähdä näitä järjestelmiä luonnostaan ​​virheellisinä, vaan tunnustaa vankan turvallisuushygienian, jatkuvan valvonnan ja uhkatiedon nopean jakamisen merkitys."

Todellinen ongelma ei ole itse Okta, sanoo Aaron Painter, Nametagin toimitusjohtaja, joka tarjoaa helpdeskin kyberturvallisuustyökaluja. Pikemminkin se johtuu yksinkertaisesti siitä, että MFA on suunniteltu tunnistamaan laitteita ihmisten sijaan.

"Tämä haavoittuvuus ei ole ainutlaatuinen MGM:lle eikä Oktalle; se on systeeminen ongelma monitekijätodennuksen kanssa”, Painter sanoo. "MFA tarkistaa laitteet, ei ihmiset. Siitä puuttuu turvallinen rekisteröinti ja palautus – kaksi hetkeä, jolloin sinun on tiedettävä, mikä ihminen on todennettu. Tämä on tunnettu ongelma, jota MFA:ta ei ole rakennettu ratkaisemaan."

Tämä on kehittyvä tarina.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/okta-flaw-involved-mgm-resorts-breach-attackers-claim