新的影响Okta密码的后利用攻击方法被发现

一种新的利用后攻击方法被发现，使潜在攻击者能够读取企业身份解决方案提供商Okta软件审计日志中的用户密码和凭据。

该方法是由法医专家Mitiga发现的，并在周四发布的一份咨询报告中进行了讨论。

Okta安全研究员Doron Karmi和or Aspir写道:“攻击者可以访问Okta审计日志，无论是直接通过管理控制台还是通过其他日志发送系统获得，如果他们在登录时在用户名字段中输入错误，就可以读取Okta用户的密码。”

从技术角度来看，该缺陷源于Okta系统记录实例失败登录尝试的方式。

报告写道：“虽然这看起来像是一种极端情况，但这种密码错误对用户来说是很常见的。因此，它对许多Okta客户构成了风险。”

Karmi和Aspir警告说，以这种方式获得的信息可能会使威胁行为者破坏Okta用户的帐户，并访问他们可能访问的资源或应用程序，有效地扩大攻击的潜在影响。

研究人员补充道：“通过了解用户的凭据，攻击者可以尝试以这些用户的身份登录到任何使用Okta单点登录(SSO)的组织的不同平台。此外，在管理员密码暴露的情况下，这些信息可以用来升级权限。”

该建议还建议可能受影响的组织审查其日志分析平台或SIEM(安全信息和事件管理)的使用情况，其中存储了Okta日志。

Karmi和Aspir写道:“任何使用Okta进行身份和访问管理的组织都可能发生这种类型的安全风险。我们已经创建了一个SQL查询，可以帮助企业识别这些潜在的密码泄露。”

此外，安全研究人员建议公司使用多因素身份验证(MFA)，在SIEM中实现访问控制和监控选项，并教育最终用户。

作为对Mitiga披露的回应，Otka证实了利用方法的有效性，并提供了额外的建议，以减轻基于它的潜在攻击。

几个月前，Group-IB安全研究人员公布了针对Okta身份凭证和连接的2FA代码的网络钓鱼活动的信息。