Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Ataque a los sistemas de soporte de Otka: ficheros HAR y tokens de sesión
Introducción
El pasado octubre conocimos un ataque a Okta, uno de los principales proveedores de identidad y autenticación. Cuenta con algo más de 15.000 clientes que usan sus servicios de identidad robusta con referencias muy importantes del sector. Esta no es la primera vez que los ciberdelincuentes utilizan ataques a la cadena de suministro de clientes importantes como método para lograr acceder a sus sistemas internos.
En enero de 2022, otro ataque a Okta resultó en la filtración de datos de sus clientes en foros de la dark web por parte del grupo Lapsus$. También en agosto 2022 se produjo el robo de OTPs de Okta enviados a través SMS por parte del grupo Scatter Swine tras haber logrado un acceso no autorizado a la plataforma de comunicaciones cloud Twillio.
Esta cadena de sucesos nos recuerda la necesidad de una perspectiva holística en la postura de seguridad que tenga en cuenta también a la cadena de suministro en su modelo de amenazas.
Cronología del ataque
En esta ocasión el ataque se produjo a los sistemas de soporte de clientes de Okta. Se trata de un sistema aislado de los principales y que es usado para la resolución de incidencias de clientes.
El ataque fue detectado inicialmente por BeyondTrust. En este post, describen lo sucedido de forma pormenorizada:
- 2 de octubre de 2023: el equipo de seguridad de BeyondTrust detectó y remedió un ataque centrado en la identidad en una cuenta de administrador de Okta interna utilizando una cookie robada del sistema de soporte de Okta y alertó a la propia Okta.
- 3 de octubre de 2023: se solicitó al soporte de Okta que lo escalara al equipo de seguridad de la empresa, ya que las primeras pruebas forenses apuntaban a un compromiso dentro de la organización de soporte de Okta.
- 11 de octubre de 2023 y 13 de octubre de 2023: se llevaron a cabo videollamadas con el equipo de seguridad de Okta para explicar los detalles que apuntaban a que podrían estar comprometidos.
- 19 de octubre de 2023: el equipo de seguridad de Okta confirmó que habían sufrido una violación interna y que BeyondTrust fue uno de sus clientes afectados.
Aunque no se revelaron detalles específicos sobre los datos expuestos, se sabe que el sistema atacado contenía archivos HTTP Archive (HAR).
¿Qué son los ficheros HAR, para qué se usan y cómo se generan?
La web de ayuda de Okta detalla que son los ficheros HAR: un formato utilizado para registrar la actividad del navegador con fines de resolución de problemas. Okta utiliza estos archivos HAR para replicar errores de usuarios o administradores y señala cómo generar estos ficheros en los principales navegadores Chrome, Firefox, and Safari.
Session tokens, un arma de doble filo
Los ficheros HAR si no son correctamente sanitizados, tal y como advierten en la propia web de ayuda de Okta, pueden contener datos sensibles como cookies y tokens de sesión, que son esenciales para mantener las sesiones de usuario. Los atacantes pueden utilizar potencialmente esta información para suplantar a los usuarios o secuestrar sus cuentas.
Afortunadamente, el equipo de seguridad de BeyondTrust exigía una autenticación MFA en todos los accesos interactivos a sus sistemas. En particular, una autenticación sin password en un dispositivo compatible con el estándar FIDO2, que es más robusta a ataques como SIM-swapping o ataques man-in-the-middle. De esta forma al atacante se le solicitó una credencial de la que no disponía y se consiguió frustrar el acceso.
Cloudfare, que posteriormente se unió a la lista de clientes conocidos afectados por el ataque, publicó un artículo con recomendaciones que seguían la misma dirección del uso de MFA para proteger accesos no autorizados y en particular el uso de MFA basados en hardware.
Si queréis más información sobre el estándar FIDO2 y la importancia del control de acceso os remitimos al post de nuestros compañeros David Prieto y Rodrigo Rojas.
Impacto
Una vez se conoció el incidente, el impacto fue evidente con una pérdida de valor de las acciones de Okta en bolsa NASDAQ de más del 10% en un único día y más de un 17% acumulado en el último mes.
Cotización de Okta, Inc. en octubre de 2023
Desde la perspectiva de los clientes de Okta, poco se conoce hasta el momento más allá de los pocos clientes del proveedor de identidad que han hecho pública su afectación y que aseguran haber mitigado el ataque a sus sistemas sin que se lograse acceso a la información de los clientes finales. Un responsable de Okta ha estimado en un 1% los clientes afectados sin dar una cifra cerrada.
Conclusiones
En un comunicado oficial de Okta, se asegura que se han tomado medidas para notificar a todos los clientes cuyos entornos o tickets de soporte se vieron afectados por el ataque. Si los clientes no han recibido una alerta, sus datos siguen siendo seguros. También se recomienda la sanitización de los ficheros HAR previa a la subida a su plataforma de soporte.
Puntos de acción para Okta
- Mejorar en la velocidad de la confirmación de un ataque es fundamental para dotar de tiempo, un recurso vital, para la protección de los sistemas de los clientes a los que da servicio.
- Quizá sería posible realizar esta sanitización de forma automatizada dentro de la propia plataforma de soporte de Okta previo a su guardado en los sistemas, para no dejarlo únicamente en manos de los clientes y su discrecionalidad. En este sentido, Cloudfare ha publicado recientemente un sanitizador de ficheros HAR que trabaja en modo cliente por lo que la privacidad está garantizada, visitad el repo si queréis montarlo en local.
Puntos de acción para los clientes
- Incorporar mecanismos de autenticación robusta multi-factor MFA (Multi-Factor Authentication), en particular aquellos basados en hardware, para que la simple tenencia de un token de sesión no permita un acceso a los sistemas internos.
Los ataques a la cadena de suministro continuarán creciendo en popularidad ya que los atacantes siempre buscarán el eslabón más débil para penetrar en los sistemas de las organizaciones.
Desde la perspectiva técnica, estos riesgos son más difíciles de gestionar más allá de la inclusión de cláusulas legales en los contratos de servicio que permitirán acciones desde el punto de vista legal. Pero son poco efectivos para la gestión de un incidente en vuelo por la complejidad y falta de visibilidad de las arquitecturas compartidas.
💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
.jpg "Estrategias de Ciberseguridad para proteger el sector financiero")
