Voilà pourquoi il ne faut pas centraliser ses accès et son identité

duJambon

Okta affirme que des pirates ont violé son système d’assistance et consulté les fichiers clients

Okta est le leader de la gestion sécurisée des identités et des accès.
Sécurisez vos infrastructures sur site, dans le cloud et hybrides avec Okta Identity

Le fournisseur de gestion d’identité et d’authentification Okta a déclaré que les pirates informatiques avaient réussi à afficher les informations privées des clients après avoir accédé aux informations d’identification de son système de gestion du support client.

“L’acteur malveillant a pu visualiser les fichiers téléchargés par certains clients d’Okta dans le cadre de récents cas de support”, a déclaré vendredi David Bradbury, responsable de la sécurité d’Okta . Il a suggéré que ces fichiers comprenaient des fichiers d’archive HTTP, ou HAR, que le personnel d’assistance de l’entreprise utilise pour répliquer l’activité du navigateur du client lors des sessions de dépannage.

“Les fichiers HAR peuvent également contenir des données sensibles, notamment des cookies et des jetons de session, que des acteurs malveillants peuvent utiliser pour usurper l’identité d’utilisateurs valides”, a écrit Bradbury. « Okta a travaillé avec les clients concernés pour enquêter et a pris des mesures pour protéger nos clients, notamment la révocation des jetons de session intégrés. En général, Okta recommande de nettoyer toutes les informations d’identification et cookies/jetons de session dans un fichier HAR avant de le partager.

Bradbury n’a pas expliqué comment les pirates ont volé les informations d’identification du système d’assistance d’Okta. Le CSO n’a pas non plus précisé si l’accès au système d’assistance compromis était protégé par une authentification à deux facteurs, ce que préconisent les meilleures pratiques.

La société de sécurité BeyondTrust a déclaré avoir alerté Okta d’une activité suspecte au début du mois après avoir détecté un attaquant utilisant un cookie d’authentification valide tentant d’accéder à l’un des comptes d’administrateur Okta internes de BeyondTrust. Les contrôles de politique d’accès de BeyondTrust ont stoppé « l’activité initiale de l’attaquant, mais les limitations du modèle de sécurité d’Okta lui ont permis d’effectuer quelques actions limitées », a déclaré la société sans plus de détails. Finalement, BeyondTrust a réussi à bloquer tous les accès.

Beyond Trust a déclaré avoir informé Okta de l’événement mais n’avoir reçu aucune réponse avant plus de deux semaines. Dans un article , les responsables de

BeyondTrust ont écrit :

La réponse initiale à l’incident a indiqué une possible compromission chez Okta, soit d’un membre de son équipe d’assistance, soit d’une personne en mesure d’accéder aux données liées à l’assistance client. Nous avons fait part de nos préoccupations concernant une violation à Okta le 2 octobre. N’ayant reçu aucun accusé de réception d’Okta concernant une éventuelle violation, nous avons persisté dans les escalades au sein d’Okta jusqu’au 19 octobre, date à laquelle les responsables de la sécurité d’Okta nous ont informés qu’ils avaient effectivement subi une violation et que nous étions l’un de leurs clients concernés.

La chronologie de l’incident fournie par Beyond Trust était la suivante :

2 octobre 2023 – Attaque centrée sur l’identité détectée et corrigée sur un compte administrateur Okta interne et alerte Okta
3 octobre 2023 : demande au support technique d’Okta de passer à l’équipe de sécurité d’Okta, étant donné que les analyses initiales indiquent une compromission au sein de l’organisation de support technique d’Okta.
11 octobre 2023 et 13 octobre 2023 : organisation de sessions Zoom avec l’équipe de sécurité d’Okta pour expliquer pourquoi nous pensions qu’ils pourraient être compromis
19 octobre 2023 – Les responsables de la sécurité d’Okta ont confirmé avoir subi une faille interne et BeyondTrust était l’un de leurs clients concernés.

Okta a connu de multiples violations de sécurité ou de données ces dernières années. En mars 2022 , des images diffusées ont montré qu’une société de piratage connue sous le nom de Lapsus$ aurait eu accès à un panneau d’administration d’Okta, lui permettant de réinitialiser les mots de passe et les informations d’authentification multifactorielles des clients Okta. La société a déclaré que la violation s’était produite après que les pirates avaient compromis un système appartenant à l’un de ses sous-traitants.

En décembre 2022, des pirates ont volé le code source d’Okta stocké dans un compte d’entreprise sur GitHub.

Bradbury a déclaré qu’Okta avait informé tous les clients dont les données avaient été consultées lors de l’événement récent. La publication de vendredi contient des adresses IP et des agents utilisateurs de navigateur utilisés par les acteurs de la menace, que d’autres peuvent utiliser pour indiquer s’ils ont également été affectés. Le système de gestion du support compromis est distinct du service de production d’Okta et du système de gestion des cas Auth0/CIC, dont aucun n’a été affecté.

Source: https://arstechnica.com/security/2023/10/okta-says-hackers-breached-its-support-system-and-viewed-customer-files/

Un seul piratage et les accès de nombreux sites sont compromis

duJambon

«Cette vulnérabilité est désormais exploitée massivement.» Le bug Citrix Bleed frappe fort

Une vulnérabilité qui permet aux attaquants de contourner l’authentification multifacteur et d’accéder aux réseaux d’entreprise à l’aide du matériel vendu par Citrix est exploitée en masse par des pirates ransomware malgré la disponibilité d’un correctif depuis trois semaines.

Citrix Bleed, le nom commun de la vulnérabilité, porte un indice de gravité de 9,4 sur 10 possibles, une désignation relativement élevée pour un simple bug de divulgation d’informations. La raison : les informations divulguées peuvent inclure des jetons de session, que le matériel attribue aux appareils qui ont déjà fourni avec succès des informations d’identification, y compris ceux fournissant la MFA. La vulnérabilité, identifiée comme CVE-2023-4966 et résidant dans NetScaler Application Delivery Controller et NetScaler Gateway de Citrix, est activement exploitée depuis août . Citrix a publié un correctif le 10 octobre.

Je répète : ce n’est pas un exercice

samedi Les attaques ne se sont intensifiées que récemment, poussant le chercheur en sécurité Kevin Beaumont à déclarer : « Cette vulnérabilité est désormais exploitée massivement ». Il a poursuivi en disant : « En discutant avec plusieurs organisations, ils constatent une exploitation généralisée. »

Il a déclaré que samedi , il avait trouvé environ 20 000 cas d’appareils Citrix exploités sur lesquels des jetons de session avaient été volés. Il a déclaré que son estimation était basée sur l’exploitation d’un pot de serveurs se faisant passer pour des appareils Netscaler vulnérables afin de suivre les attaques opportunistes sur Internet. Beaumont a ensuite comparé ces résultats avec d’autres données, dont certaines fournies par Netflow et le moteur de recherche Shodan.

Pendant ce temps, GreyNoise, une société de sécurité qui déploie également des pots de miel, montrait des exploits pour CVE-2023-4966 provenant de 135 adresses IP lorsque ce message a été publié sur Ars. Cela représente une multiplication par 27 par rapport aux cinq IP repérées par GreyNoise il y a cinq jours.

Les chiffres les plus récents disponibles auprès de l’organisation de sécurité Shadowserver montrent qu’il y avait environ 5 500 appareils non corrigés . Beaumont a reconnu que cette estimation était en contradiction avec son estimation de 20 000 appareils compromis. On ne sait pas immédiatement ce qui cause cet écart.

La vulnérabilité est relativement facile à exploiter pour les personnes expérimentées. Une simple rétro-ingénierie du patch publié par Citrix montre les fonctions vulnérables, et à partir de là, il n’est pas difficile d’écrire du code qui les exploite. Pour rendre les attaques encore plus faciles, une poignée d’exploits de preuve de concept sont disponibles en ligne.

Source, analyse technique et plus: https://arstechnica.com/security/2023/10/critical-citrix-bleed-vulnerability-allowing-mfa-bypass-comes-under-mass-exploitation/

Violence

Ouai enfin en entreprise, centraliser les sessions est un incontournable via des fermes TSE/RDP ou Citrix pour raisons de budget, de praticité et de sécurité des données (Si bien sur cela est bien fait sinon c’est contre productif)

– Une autre faille ciblant Citrix via la CVE-2023-3519 qui ne cherche pas à contourner la MFA masi plutôt pour voler des identifiants sur des serveurs compromis.

https://www.it-connect.fr/les-pirates-attaquent-les-serveurs-citrix-pour-capturer-des-identifiants/

La faille est déjà patchée donc pour les admins Citrix, vous savez ce qu’ils vous restent à faire :

–> METTRE A JOUR vos applicatifs. C’EST LA BASE