Как Cloudflare смягчила еще один компромисс Okta

Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor.com . Запуск сайта через несколько минут.

В среду, 18 октября 2023 г., мы обнаружили атаки на нашу систему, которые удалось отследить до Okta: злоумышленники смогли использовать токен аутентификации, скомпрометированный в Okta, для перехода на экземпляр Okta Cloudflare. Несмотря на то, что это был тревожный инцидент безопасности, обнаружение и оперативное реагирование нашей группы реагирования на инциденты безопасности (SIRT) в режиме реального времени позволили сдержать его и свести к минимуму воздействие на системы и данные Cloudflare. Мы убедились в этом Это событие не затронуло никакую информацию или системы клиентов Cloudflare. из-за нашего быстрого реагирования. Okta опубликовала публичное заявление по поводу этого инцидента.

Это второй раз, когда Cloudflare подвергается взлому в системах Okta. В марте 2022 года мы опубликовали в блоге информацию о нашем расследовании того, как взлом Okta повлиял на Cloudflare. В этом инциденте мы пришли к выводу, что злоумышленник не имел доступа ни к одной из наших систем или данных — использование Cloudflare жестких ключей для многофакторной аутентификации остановило эту атаку.

Ключом к смягчению последствий инцидента, произошедшего на этой неделе, стало раннее обнаружение и немедленное реагирование нашей команды. Фактически, мы связались с Okta по поводу взлома их систем до того, как они уведомили нас. Злоумышленник использовал открытый сеанс Okta с правами администратора и получил доступ к нашему экземпляру Okta. Мы смогли использовать нашу систему Cloudflare Zero Trust Access, Gateway и Data Loss Prevention, а также наше исследование угроз Cloudforce One, чтобы проверить масштаб инцидента и сдержать его, прежде чем злоумышленник сможет получить доступ к данным клиентов, системам клиентов или нашей производственной сети. . Обладая этой уверенностью, мы смогли быстро смягчить последствия инцидента до того, как злоумышленники смогли проявить настойчивость.

Согласно заявлению Okta, злоумышленник получил доступ к системе поддержки клиентов Okta и просмотрел файлы, загруженные некоторыми клиентами Okta в рамках недавних обращений в службу поддержки. Похоже, что в нашем случае злоумышленнику удалось похитить токен сеанса из заявки в службу поддержки, созданной сотрудником Cloudflare. Используя токен, извлеченный из Okta, злоумышленник получил доступ к системам Cloudflare 18 октября. В ходе этой сложной атаки мы заметили, что злоумышленники скомпрометировали две отдельные учетные записи сотрудников Cloudflare на платформе Okta. Мы обнаружили эту активность внутри компании более чем за 24 часа до того, как Okta уведомила нас о взломе. После обнаружения наша SIRT смогла быстро приступить к работе, чтобы выявить весь масштаб компрометации и локализовать инцидент безопасности. Архитектура Cloudflare Zero Trust защищает нашу производственную среду, что помогает предотвратить любое воздействие на наших клиентов.

Рекомендации для Окты

Мы призываем Окту рассмотреть возможность внедрения следующих передовых практик, в том числе:

  • Серьезно относитесь к любому сообщению о компрометации и действуйте немедленно, чтобы ограничить ущерб; в данном случае компания BeyondTrust впервые уведомила Okta 2 октября 2023 г., но злоумышленник все еще имел доступ к их системам поддержки как минимум до 18 октября 2023 г.
  • Своевременно и ответственно сообщайте своим клиентам, когда вы обнаружите, что нарушение ваших систем затронуло их.
  • Требовать аппаратные ключи для защиты всех систем, включая сторонних поставщиков поддержки.

Мы считаем, что для такого важного поставщика услуг безопасности, как Okta, следование этим передовым практикам является решающим фактором.

Рекомендации для клиентов Окты

Если вы являетесь клиентом Okta, мы рекомендуем вам обратиться к ним за дополнительной информацией о потенциальном влиянии на вашу организацию. Также советуем следующие действия:

  • Включите аппаратное MFA для всех учетных записей пользователей. Сами по себе пароли не обеспечивают необходимый уровень защиты от атак. Мы настоятельно рекомендуем использовать аппаратные ключи, поскольку другие методы MFA могут быть уязвимы для фишинговых атак.
  • Расследовать и ответить на:
    • Все неожиданные изменения паролей и MFA для ваших экземпляров Okta.
    • Подозрительные события, инициированные службой поддержки.
    • Убедитесь, что все сбросы паролей действительны, и принудительно сбросьте пароль для всех, кто находится под подозрением.
    • Любые подозрительные события, связанные с MFA, гарантирующие наличие только действительных ключей MFA в конфигурации учетной записи пользователя.
  • Монитор для:
    • Созданы новые пользователи Okta.
    • Реактивация пользователей Окты.
    • Все сеансы имеют соответствующую аутентификацию.
    • Все изменения в учетной записи Okta и разрешениях.
    • Переопределение политики MFA, изменения MFA и удаление MFA.
    • Делегирование конфиденциальных приложений.
    • Поставщики цепочки поставок получают доступ к вашим арендаторам.
  • Просмотрите политики истечения срока действия сеанса, чтобы ограничить атаки перехвата сеанса.
  • Используйте инструменты для проверки устройств, подключенных к вашим критически важным системам, такие как проверка состояния устройства Cloudflare Access.
  • Практикуйте глубокую защиту для своих стратегий обнаружения и мониторинга.

Отделы безопасности и ИТ Cloudflare продолжают сохранять бдительность после этой компрометации. Если Okta раскроет дополнительную информацию или обнаружит ее посредством дополнительного анализа журналов, мы опубликуем обновление к этому сообщению.

Группа реагирования на инциденты безопасности Cloudflare приглашает на работу.

Заказать сайт визитку
Заказать сайт визитку