Okta平臺出現認證漏洞
根據週二的一份報告,Authomize的研究人員在身份和訪問管理(IAM)平臺Okta中發現了四個具有"高影響"的安全風險。
這些風險包括通過SCIM(跨域身份管理系統)的明文密碼洩漏,通過未加密的HTTP通道共享密碼和其他資料,允許管理員入侵其他組織的IT環境,以及進行身份日誌欺騙。
利用這些風險攻擊者可以竊取認證資料,訪問敏感的個人和財務資訊,並破壞Okta管理的IT環境。
IAM中的風險
IAM軟體可以用來組織管理哪些人可以訪問IT環境中的資源。像Okta這樣的平臺還會提供密碼管理和單點登入等功能,使使用者能夠更無縫地登入,很方便的從一個軟體環境轉移到另一個軟體環境。總而言之,IAM對使用者和管理員來說都相當方便的。
然而,一個不安全的IAM對攻擊者來說也很方便,原因有很多。Okta中新發現的風險漏洞可能會允許黑客或惡意的內部人員獲得密碼,接管管理員賬戶,甚至破壞整個組織的資料。
這裡以報告中概述的第三個風險為例。
對於這個全球性的分散式組織,Okta採用了樞紐和輻條架構,母公司("樞紐")監督併為其控制的小型獨立企業("輻條")提供服務。研究人員發現,Okta輻條中的管理員可以冒充中心的任何賬戶或任何連線到中心的下游應用。在該報告中還闡述了這種情況發生的各種假設。
小公司的管理員也可以訪問其他企業的IT環境,這其中也包括屬於大型財富500強的網路環境,甚至還可以竊取或破壞敏感資料,或利用資料做其他任何事情。
這些屬於是漏洞嗎?
研究人員十分謹慎地將他們的發現描述為 "風險",而不是徹頭徹尾的漏洞。當他們與Okta聯絡時,Okta解釋說,這些功能是按設計執行的,不應該被歸類為漏洞。這怎麼可能呢?
考慮一下我們之前的例子。小公司的管理員可以通過建立一個與樞紐中心的管理員具有相同識別符號的使用者來獲得對樞紐中心和其他機構的訪問許可權。在一個巨大的樞紐中心和分支環境中,如果兩個使用者可以擁有相同的使用者名稱,這很可能是有意為之的,目的是使整個組織的訪問控制更容易被擴充套件,同時將控制範圍限制在一個特定的網路環境內。然而,在實際應用中,他們可能會將樞紐中心暴露給任何惡意的管理員。
Okta提供了一種關閉使用者名稱重複的方法,但這些控制並不是預設設定的。這也就使使用者從最初的設定中就變得不安全。Okta在其應用指南中也很少向用戶解釋,他們可能會因為這些不安全的預設設定而面臨重大風險。
Okta在許多方面都有非常好的安全實踐,研究人員指出,我們確信其他IAM供應商也存在類似的問題。 因此,在總結他們的研究時,我們的建議是,企業應該採取積極主動的方法,為他們的IAM工具提供獨立的安全解決方案。
- Longhorn 的正確使用姿勢:如何處理增量 replica 與其中的 snapshot/backup
- 奇安信連續四年登榜“北京民營企業百強”
- “三重提升”保護資料安全 揭祕南陽二院資料互動安全之路
- 瀏覽器擴充套件 比你想象得更危險
- Lilith殭屍網路及其背後的Jester黑客團伙跟進分析
- 提升公眾反詐意識 共築堅實防線:騰訊“反詐在行動”助力全民反詐
- 【技術原創】滲透技巧——從VMware ESXI橫向移動到Windows虛擬機器
- 保護物聯網裝置遠離網路攻擊的五個步驟
- MICROSOFT WINDOWS NFS V4中發現一個遠端程式碼執行漏洞
- TP-Link TL-WR841N 裝置上的漏洞(CVE-2022-30024)分析
- CopperStealer傳播基於惡意Chromium的瀏覽器擴充套件來竊取加密貨幣
- Snatch,BianLian 和 Agenda都出現了最新的變體
- KCon 2022 演講 PPT 新鮮出爐!
- VMware Tools本地提權漏洞CVE-2022-31676分析與復現(1)
- 通過自治系統號(ASN)預判攻擊發生的可能性
- ZecOps 對 AliExpress 平臺購買的 Android 手機取證分析,發現該手機將系統 Android 6 偽造欺騙成...
- 盤古石手機取證分析系統入選首屆法律科技成果案例
- 如何在當今不斷變化的威脅環境中,實現漏洞管理的現代化
- 360揭祕美國網路攻擊西工大細節 攻克“看見”高階攻擊世界性難題
- 【安全熱點】從暢捷通漏洞利用事件看勒索病毒如何防治