Okta 超级管理员账户被攻击的风险

关键要点

Okta 的身份和访问管理方案遭受社会工程攻击，攻击者利用“超级管理员”账户入侵目标组织。攻击者通过电话诱骗 IT 服务台重置多因素身份验证 (MFA) 设置，随后使用这些管理员账户入侵其他应用程序。Okta 提醒用户采用合适的安全措施以防范此类攻击。攻击可能与臭名昭著的威胁组织 UNC3944 相连。

Okta 的身份和访问管理解决方案的用户近期遭遇了一场社会工程攻击，攻击者利用“超级管理员”账户来入侵目标组织。这些攻击涉及到一种手法，攻击者通过电话联系 IT 服务台员工，成功说服他们重置高度特权的 Okta 平台管理员账户的多因素身份验证 (MFA) 设置。之后，诈骗者便使用这些管理员账户入侵受害组织中的其他应用程序。

根据 Okta 官方网站的信息，超过 18000 家组织，包括 FedEx、SampP Global 和 TMobile，都在使用 Okta 的平台。

黑洞加速器官方

在 9 月 1 日发布的一份安全通告中，Okta 表示近期有多名美国用户采用同样方式受到攻击。

在请求 MFA 重置之前，攻击者似乎已经掌握了超级管理员账户的密码，或者“能够通过 Active Directory 操控委托身份验证流程”。为了成功实施这一伎俩，诈骗者使用了匿名代理服务，并通过未曾与那些用户关联过的设备和 IP 地址访问被攻陷的账户，通告中指出。

攻击与 UNC3944 相关

尽管 Okta 的安全通告并没有将此次攻击归咎于某个特定的威胁组织，但研究人员推测，这些使用的战术、技术和程序表明可能与UNC3944有联系，该组织也被称为 Scattered Spider、Scatter Swine 和 Muddled Libra。

在上个月发布的对此组织的分析中，Trellix 的威胁研究员 Phelix Oluoch 表示，UNC3944 以多种社会工程战术而闻名。

他写道：“这个组织经常被观察到伪装 IT 人员，以说服个人分享其凭证或授予其计算机的远程访问权限，并且与几次网络钓鱼攻击及恶意内核驱动程序的部署有联系。”

在 2022 年 8 月，UNC3944 获得了与云通信服务提供商 Twilio 相关的 163 名客户的数据，包括 Okta 在内。

“超级管理员”账户的危险

Okta 描述了此次攻击中使用的方法为对其平台“合法身份联合功能”的滥用，并表示通过适当的安全措施可以防止这些攻击，否则可以被检测到。

然而，此事件展示了如果顶级管理账户的控制权落入错误之手，组织所面临的风险。

Okta 的通告指出，“被攻陷的超级管理员账户被用来为其他账户分配更高权限，并/或重置现有管理员账户中注册的身份验证器。”

“在某些情况下，攻击者移除了身份验证政策中的第二因素要求。”

由于攻击者获得的特权，他们可以配置被攻陷的“身份提供者”账户，这些账户可以用于访问目标组织中的应用程序。

Okta 表示：“鉴于这一点，创建或修改身份提供者的访问权限仅限于在 Okta 组织中拥有最高权限的用户超级管理员或组织管理员。”