Un grupo de expertos ha detectado un nuevo método de ataque que permite a los ciberdelincuentes leer las contraseñas y credenciales de los usuarios en los registros de auditoría del software de Okta.
Los ciberdelincuentes con acceso a los registros de auditoría de Okta, ya los obtengan a través de la consola de gestión o a través de otros sistemas donde se envían los registros, podrían leer las contraseñas de los usuarios. Esto se produce siempre que los usuarios los hubieran escrito incorrectamente en el campo de nombre de usuario durante el inicio de sesión.
Así lo confirman expertos de Mitiga en un comunicado en el que detallan que, desde el punto de vista técnico, el error deriva de la forma en la que el sistema de Okta registra los intentos fallidos de inicio de sesión. Cabe recordar que Okta es una solución dedicada a la gestión de identidades de cualquier aplicación, tecnología o plataforma de modo unificado.
«Si bien puede parecer un caso extremo, este tipo de error de contraseña es común para los usuarios. Como resultado, representa un riesgo para muchos clientes de Okta», añade el comunicado.
De acuerdo con los expertos, la información obtenida de esa manera podría comprometer las cuentas de los usuarios de Okta y que los ciberdelincuentes accedan a recursos o aplicaciones expandiendo el impacto del ataque.
Y es que, al conocer las credenciales de los usuarios, un ciberdelincuente puede intentar iniciar sesión como esos usuarios en cualquiera de las diferentes plataformas de la organización que utilizan el inicio de sesión único (SSO) de Okta. Además, esta información podría utilizarse para aumentar los privilegios en el caso de contraseñas de administrador expuestas.
Cómo reforzar la seguridad en Okta
Otro de los puntos que destacan los expertos es que las organizaciones potencialmente afectadas deben revisar el uso de su plataforma de análisis de registros o SIEM (gestión de eventos e información de seguridad) donde se almacenan los registros de Okta.
Según apuntan, cualquier organización que use Okta para la gestión de accesos e identidades puede ser víctima de estos riesgos. Por eso recomiendan que utilicen la autenticación multifactor (MFA), e implementen controles de acceso y opciones de monitorización en SIEM.
Además, la concienciación y educación de los usuarios finales también será clave para evitar caer víctima de estos ataques.
Por su parte, Otka ha confirmado la validez del método de explotación, al tiempo que también y ha hecho una serie de recomendaciones para mitigar posibles ataques.
El aviso de Mitiga se produce meses después de que los investigadores de seguridad de Group-IB alertase de la existencia una campaña de phishing dirigida a las credenciales de identidad de Okta y los códigos de doble factor de autenticacion conectados.