Okta-agent involvert i brudd på MGM Resorts, hevder angripere

Merk: Denne historien har blitt oppdatert for å inkludere kommentarer fra Okta sikkerhetssjef David Bradbury.

Trusselaktørene som antas å stå bak forrige ukes MGM Resorts og Caesars Entertainment cyberangrep sier nå at de var i stand til å bryte MGMs systemer ved på en eller annen måte å knekke inn i selskapets Okta-plattform, nærmere bestemt Okta Agent, som er den lette klienten som kobles til en organisasjons Active Directory.

Okta er en populær leverandør av identitets- og tilgangsadministrasjon (IAM). for skyen.

"MGM tok den forhastede beslutningen om å stenge hver og en av Okta Sync-serverne deres etter å ha fått vite at vi hadde lurt i Okta Agent-serverne deres og snuset passord til folk hvis passord ikke kunne knekkes fra domenekontrollerens hash-dumper," ALPHV skrev på sin lekkasjeside, i en uttalelse som Emsisoft-forsker Brett Callow tweeted ut. "Dette resulterte i at deres Okta ble helt ute."

ALPHV-uttalelsen la til at etter å ha lurt rundt i Okta i en dag og skaffet passord, lanserte trusselgruppen løsepengevare-cyberangrep mot mer enn 1,000 ESXi-hypervisorer 11. september, "... etter å ha prøvd å komme i kontakt [med MGM], men mislykket, ", heter det i uttalelsen.

Ransomware-gruppen gjorde det klart at MGM Resorts ikke forhandler med dem, og den truer med ytterligere tiltak hvis en økonomisk ordning ikke blir inngått.

"Vi fortsetter fortsatt å ha tilgang til noe av MGMs infrastruktur," heter det i ALPHV-uttalelsen. "Hvis en avtale ikke oppnås, skal vi utføre ytterligere angrep." Gruppen sa også at den ville frigi dataene den eksfiltrerte til Troy Hunt fra Have I Been Pwned, for ansvarlig å avsløre om han valgte å gjøre det.

ALPHV (aka BlackCat) er navnet på ransomware as a service-operatøren (RaaS) som ga trusselgruppen Scattered Spider med skadelig programvare og støttetjenester for å dra av kasino cyberangrep.

Oktas august-advarsel om sosiale ingeniørangrep

Okta sikkerhetssjef David Bradbury bekrefter at nettangrepet på MGM hadde en sosial ingeniørkomponent, men legger til at det var vellykket fordi trusselaktørene var sofistikerte nok til å distribuere sin egen identitetsleverandør (IDP) og brukerdatabase i Okta-systemet.

"Den menneskelige delen var enkel, men den påfølgende delen av angrepet var kompleks," sier han.

Evnen til å lage flere identitetsundergrupper er en funksjon i Okta-systemet, ikke en feil, legger Bradbury til. Han foreslår at å legge til et visuelt verifiseringstrinn ved helpdesk for bare brukerne med høyest tilgangsrettigheter vil stoppe disse nettangrepene.

Okta advarte av potensialet for sosiale ingeniørangrep av denne typen med et varsel 31. august som beskriver forsøk på Okta-systemer for å få svært privilegert tilgang gjennom sosial ingeniørkunst.

"De siste ukene har flere amerikanske Okta-kunder rapportert om et konsistent mønster av sosiale ingeniørangrep mot deres IT-servicedesk-personell, der innringerens strategi var å overbevise servicedesk-personell om å tilbakestille alle multi-factor authentication (MFA)-faktorer registrert av svært privilegerte brukere,» advarte Okta. "Angriperne utnyttet deretter kompromisset deres av svært privilegerte Okta Super Administrator-kontoer til å misbruke legitime identitetsføderasjonsfunksjoner som gjorde dem i stand til å utgi seg for brukere i den kompromitterte organisasjonen."

Okta har også vært veldig offentlig om sin forhold til MGM, jobber med gjestfrihetsselskapet for å gi «byggesteinene til den ultimate gjesteopplevelsen», ifølge nettstedet.

Bradbury sier at Okta vil fortsette å jobbe med Caesars og MGM om respons og gjenoppretting, og bekrefter også Oktas rolle i Caesars-bruddet.

Sannsynligvis ny bølge av MFA-misbruk

Bekymrende nok kan dette være den første i en ny bølge av nettangrep rettet mot brukere med høye privilegier, ifølge Callie Guenther, seniorleder for trusselforskning ved Critical Start. Okta er tross alt allerede et populært mål blant nettkriminalitetsaktører.

"Okta, gitt sin sentralitet i mange organisasjoners IAM-strategier, er naturligvis et tiltalende mål," sier Guenther. "Nøkkelen er ikke å se på disse systemene som iboende feil, men å erkjenne viktigheten av robust sikkerhetshygiene, kontinuerlig overvåking og rask deling av trusselintelligens."

Det virkelige problemet er ikke Okta i seg selv, ifølge Aaron Painter, administrerende direktør i Nametag, en leverandør av helpdesk-cybersikkerhetsverktøy. Snarere er det ganske enkelt det faktum at MFA er designet for å identifisere enheter i stedet for mennesker.

"Denne sårbarheten er ikke unik for MGM eller Okta; det er et systemisk problem med multifaktorautentisering, sier Painter. "MFA verifiserer enheter, ikke mennesker. Det mangler sikker påmelding og gjenoppretting - to øyeblikk når du trenger å vite hvilket menneske som blir autentisert. Dette er et kjent problem, som MFA ikke ble bygget for å løse.»

Dette er en utviklende historie.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• ChartPrime. Hev handelsspillet ditt med ChartPrime. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://www.darkreading.com/application-security/okta-flaw-involved-mgm-resorts-breach-attackers-claim