Remarque : Cette histoire a été mise à jour pour inclure les commentaires du responsable de la sécurité d'Okta, David Bradbury.
Les auteurs de la menace soupçonnés d'être à l'origine des cyberattaques de MGM Resorts et Caesars Entertainment de la semaine dernière affirment désormais qu'ils ont réussi à pirater les systèmes de MGM en piratant d'une manière ou d'une autre la plate-forme Okta de l'entreprise, en particulier l'agent Okta, qui est le client léger qui se connecte à l'Active Directory d'une organisation.
Okta est un fournisseur populaire de gestion des identités et des accès (IAM). pour le nuage.
"MGM a pris la décision hâtive de fermer chacun de ses serveurs Okta Sync après avoir appris que nous nous cachions dans leurs serveurs Okta Agent pour détecter les mots de passe de personnes dont les mots de passe ne pouvaient pas être déchiffrés à partir des sauvegardes de hachage de leur contrôleur de domaine", ALPHV a écrit sur son site de fuite, dans une déclaration selon laquelle le chercheur d'Emsisoft, Brett Callow tweeté. « Cela a entraîné la disparition complète de leur Okta. »
Le communiqué de l'ALPHV ajoute qu'après avoir erré autour d'Okta pendant une journée et récupéré des mots de passe, le groupe de menace a ensuite lancé des cyberattaques de ransomware contre plus de 1,000 11 hyperviseurs ESXi le XNUMX septembre, «… après avoir essayé d'entrer en contact [avec MGM] mais sans succès, », indique le communiqué.
Le groupe de ransomware a clairement indiqué que MGM Resorts ne négociait pas avec eux et menaçait de prendre de nouvelles mesures si un accord financier n'était pas conclu.
"Nous continuons d'avoir accès à certaines infrastructures de MGM", indique le communiqué de l'ALPHV. "Si aucun accord n'est trouvé, nous mènerons des attaques supplémentaires." Le groupe a également déclaré qu'il communiquerait les données qu'il a exfiltrées à Troy Hunt de Have I Been Pwned, pour qu'il les divulgue de manière responsable s'il choisissait de le faire.
ALPHV (alias BlackCat) est le nom de l'opérateur de ransomware as a service (RaaS) qui a fourni le groupe de menace Scattered Spider avec les logiciels malveillants et les services d'assistance pour réaliser le cyberattaques de casinos.
Avertissement d'Okta en août concernant les attaques d'ingénierie sociale
David Bradbury, responsable de la sécurité d'Okta, confirme que la cyberattaque contre MGM comportait une composante d'ingénierie sociale, mais ajoute qu'elle a réussi parce que les acteurs de la menace étaient suffisamment sophistiqués pour déployer leur propre fournisseur d'identité (IDP) et leur propre base de données d'utilisateurs dans le système Okta.
« La partie humaine était simple, mais la partie ultérieure de l’attaque était complexe », dit-il.
La possibilité de créer plusieurs sous-groupes d'identité est une fonctionnalité du système Okta et non un défaut, ajoute Bradbury. Il suggère d'ajouter une étape de vérification visuelle au service d'assistance uniquement pour les utilisateurs disposant des privilèges d'accès les plus élevés afin d'arrêter ces cyberattaques.
Okta a prévenu du potentiel d'attaques d'ingénierie sociale de ce type avec une alerte du 31 août détaillant les tentatives sur les systèmes Okta d'obtenir un accès hautement privilégié grâce à l'ingénierie sociale.
« Ces dernières semaines, plusieurs clients Okta basés aux États-Unis ont signalé une tendance constante à attaques d'ingénierie sociale contre le personnel de leur centre de services informatiques, dans lequel la stratégie de l'appelant était de convaincre le personnel du centre de services de réinitialiser tous les facteurs d'authentification multifacteur (MFA) inscrits par les utilisateurs hautement privilégiés », a averti Okta. « Les attaquants ont ensuite exploité la compromission des comptes hautement privilégiés du super-administrateur Okta pour abuser des fonctionnalités légitimes de fédération d’identité qui leur ont permis de se faire passer pour les utilisateurs au sein de l’organisation compromise. »
Okta a également fait part très publiquement de son relation avec MGM, travaillant avec l'entreprise hôtelière pour fournir les « éléments de base de l'expérience client ultime », selon son site Web.
Bradbury affirme qu'Okta continuera à travailler avec Caesars et MGM sur la réponse et le rétablissement, confirmant également le rôle d'Okta dans la violation de Caesars.
Une nouvelle vague d’abus d’AMF est probable
Il est inquiétant de constater que cela pourrait être la première d'une nouvelle vague de cyberattaques ciblant les utilisateurs disposant de privilèges élevés, selon Callie Guenther, responsable principale de la recherche sur les menaces chez Critical Start. Okta est après tout déjà une cible populaire parmi les acteurs de la cybercriminalité.
« Okta, compte tenu de sa place centrale dans les stratégies IAM de nombreuses organisations, est naturellement une cible attrayante », déclare Guenther. « L’essentiel n’est pas de considérer ces systèmes comme intrinsèquement défectueux, mais de reconnaître l’importance d’une hygiène de sécurité rigoureuse, d’une surveillance continue et du partage rapide des renseignements sur les menaces. »
Le vrai problème n'est pas Okta lui-même, selon Aaron Painter, PDG de Nametag, un fournisseur d'outils de cybersécurité pour le service d'assistance. Il s’agit simplement du fait que la MFA est conçue pour identifier les appareils plutôt que les personnes.
« Cette vulnérabilité n'est pas propre à MGM ni à Okta ; c'est un problème systémique avec l'authentification multifacteur », explique Painter. « MFA vérifie les appareils, pas les personnes. Il manque une inscription et une récupération sécurisées – deux moments où vous avez besoin de savoir quel humain est en cours d’authentification. Il s’agit d’un problème connu pour lequel MFA n’a pas été conçu.
Ceci est une histoire en développement.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/application-security/okta-flaw-involved-mgm-resorts-breach-attackers-claim
- :possède
- :est
- :ne pas
- $UP
- 000
- 1
- 11
- 31
- 7
- a
- Aaron
- capacité
- Capable
- A Propos
- abus
- accès
- Selon
- hybrides
- Action
- infection
- acteurs
- ajoutée
- ajoutant
- Supplémentaire
- propos
- Ajoute
- Après
- à opposer à
- Agent
- aka
- Alerte
- Tous
- déjà
- aussi
- parmi
- an
- et les
- attirant
- autour
- arrangement
- AS
- At
- attaquer
- Attaques
- Tentatives
- Août
- Août
- authentifié
- Authentification
- BE
- car
- était
- derrière
- va
- cru
- Blocs
- violation
- Développement
- construit
- mais
- by
- Caesars
- demandeur
- porter
- Centralité
- CEO
- chef
- choisir
- réclamer
- clair
- client
- le cloud
- commentaires
- Société
- complètement
- complexe
- composant
- compromis
- Compromise
- connecte
- cohérent
- continuer
- continu
- contrôleur
- convaincre
- pourriez
- ne pouvait pas
- fissuré
- fissuration
- engendrent
- critique
- Clients
- Cyber-attaque
- cyber-attaques
- la cybercriminalité
- Cybersécurité
- données
- Base de données
- David
- journée
- affaire
- décision
- déployer
- un
- bureau
- Detailing
- développement
- Compatibles
- Divulguer
- do
- domaine
- down
- chacun
- Emsisoft
- activé
- ENGINEERING
- assez
- inscrit
- Divertissement
- Chaque
- d'experience
- fait
- facteurs
- défaut
- Fonctionnalité
- Fonctionnalités:
- Fédération
- la traduction de documents financiers
- Prénom
- défaut
- imparfait
- Pour
- De
- plus
- Gain
- obtenez
- donné
- Réservation de groupe
- GUEST
- ait eu
- hachage
- Vous avez
- he
- le plus élevé
- très
- hospitalité
- HTTPS
- humain
- chasse
- i
- identifier
- Identite
- if
- importance
- in
- comprendre
- Infrastructure
- intrinsèquement
- Intelligence
- développement
- impliqué
- ISN
- aide
- IT
- Service informatique
- SES
- lui-même
- jpg
- juste
- ACTIVITES
- Savoir
- connu
- Nom
- lancé
- fuite
- apprentissage
- légitime
- à effet de levier
- léger
- LES PLANTES
- malware
- gestion
- manager
- de nombreuses
- MFA
- Des moments
- Stack monitoring
- PLUS
- plusieurs
- prénom
- Besoin
- Nouveauté
- maintenant
- of
- de rabais
- Financier
- OKTA
- on
- ONE
- opérateur
- organisation
- organisations
- ande
- propre
- peintre
- partie
- mots de passe
- Patron de Couture
- Personnes
- personnel
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Populaire
- défaillances
- privilégié
- privilèges
- Problème
- fournir
- à condition de
- de voiture.
- public
- ransomware
- Nos tests de diagnostic produisent des résultats rapides et précis sans nécessiter d'équipement de laboratoire complexe et coûteux,
- plutôt
- atteint
- réal
- récent
- reconnaître
- récupération
- libérer
- Signalé
- un article
- chercheur
- Hôtels
- réponse
- robuste
- Rôle
- s
- Saïd
- dire
- dit
- épars
- sécurisé
- sécurité
- supérieur
- Septembre
- Serveurs
- service
- Services
- partage
- arrêter
- étapes
- simplement
- site
- So
- Réseaux sociaux
- Ingénierie sociale
- quelques
- en quelque sorte
- sophistiqué
- spécifiquement
- Commencer
- Déclaration
- étapes
- Encore
- Arrêter
- Histoire
- les stratégies
- de Marketing
- ultérieur
- réussi
- Suggère
- Super
- Support
- combustion propre
- systémique
- Système
- Target
- ciblage
- que
- qui
- Le
- leur
- Les
- puis
- Ces
- l'ont
- this
- menace
- acteurs de la menace
- Avec
- à
- les outils
- -nous
- essayer
- deux
- type
- ultime
- expérience unique et authentique
- a actualisé
- Utilisateur
- utilisateurs
- Vérification
- très
- Voir
- vulnérabilité
- avertissement
- était
- était
- Vague
- we
- Site Web
- semaine
- Semaines
- WELL
- ont été
- quand
- qui
- WHO
- dont
- sera
- comprenant
- dans les
- activités principales
- de travail
- pourra
- écrit
- Vous n'avez
- zéphyrnet
