Según se informa, se ha detectado una importante falla de seguridad en la plataforma de administración de acceso e identidad de Okta, que podría haber brindado a los actores de amenazas acceso a las credenciales de inicio de sesión de los usuarios y, en última instancia, acceso a cualquier recurso o aplicación que utilicen.
Los investigadores de ciberseguridad de Mitiga descubrieron que, en algunos casos, Okta presentaba las contraseñas de los usuarios (se abre en una pestaña nueva) en registros de auditoría, almacenados en texto sin formato. Por lo tanto, si un tercero no autorizado obtiene acceso a esos registros, se le darán las llaves del reino. Los investigadores describieron esto como un método de ataque posterior a la explotación.
Cada intento de inicio de sesión se registra, explican los investigadores. A veces, las personas escriben por error su contraseña en el campo de nombre de usuario, lo que obviamente resulta en un intento fallido de inicio de sesión. Sin embargo, como todo está registrado, esto también se registra y la contraseña se muestra en texto sin formato.
MFA al rescate
Okta también mantiene otros datos confidenciales en los registros, encontraron los investigadores. Además de los nombres de usuario, eso incluye direcciones IP y marcas de tiempo de inicio de sesión. Además, los registros muestran si el intento de inicio de sesión fue exitoso o no, y si se realizó a través de un navegador web o una aplicación móvil.
Para mitigar el riesgo, dice Mitiga, el mejor curso de acción es configurar la autenticación multifactor (MFA). Si bien el método no es infalible, reducirá significativamente las posibilidades de que los actores de amenazas utilicen registros de auditoría para comprometer las cuentas.
Después de comunicarse con Okta, la compañía confirmó los hallazgos de Mitiga, pero restó importancia a la importancia, diciendo que los administradores son los únicos que tienen acceso a los registros de auditoría, y estos deberían ser personas de confianza, de manera predeterminada.
“Okta revisó el problema informado y confirmó que es el comportamiento esperado cuando los usuarios ingresan por error su contraseña en el campo de nombre de usuario”, dijo la compañía. “Okta registra los intentos de inicio de sesión fallidos e incluye el nombre de usuario erróneo en los registros. Estos registros solo son accesibles para los administradores de Okta, que son los usuarios más privilegiados de Okta y se debe confiar en que no participarán en actividades maliciosas”.
“Además, Okta recomienda hacer cumplir la autenticación multifactor resistente al phishing para mejorar aún más la seguridad de la plataforma Okta. De forma predeterminada, se aplica MFA al acceder a la consola de administración de Okta. Un mal actor no podría acceder a la consola de administración sin proporcionar factores adicionales para iniciar sesión. Del mismo modo, los administradores pueden configurar una política de autenticación que requiere MFA adicional al iniciar sesión en aplicaciones específicas, lo que restringiría aún más las acciones que puede realizar un mal actor”.