订阅以接收新文章的通知:

Cloudflare 如何缓解又一次 Okta 入侵事件

2023-10-20

3 分钟阅读时间
这篇博文也有 English日本語한국어繁體中文版本。

2023 年 10 月 18 日星期三,我们发现我们的系统受到了攻击,这些攻击可以追溯到 Okta——威胁行为者能够利用在 Okta 遭到破解的身份验证令牌进入 Cloudflare 的 Okta 实例。虽然这是一个令人不安的安全事件,但我们的安全事件响应团队 (SIRT) 的实时检测和及时响应使事件得到了控制,并最大限度地减少了对 Cloudflare 系统和数据的影响。我们已经核实,由于我们快速反应,Cloudflare 的客户信息或系统没有受到此次事件的影响。Okta 现已就此次事件发布公开声明

这是 Cloudflare 第二次受到 Okta 系统被入侵的影响。在 2022 年 3 月,我们在博客中介绍了我们对 Okta 系统被入侵如何影响 Cloudflare 的调查。在那次事件中,我们得出的结论是,威胁者无法访问我们的任何系统或数据——Cloudflare 使用硬件密钥进行多因素身份验证阻止了本次攻击。

缓解本周这个事件的关键在于我们团队及早发现和立即反应。事实上,在 Okta 通知我们之前,我们就已经就他们的统被入侵一事与他们取得了联系。攻击者使用具有管理权限的 Okta 开放会话访问了我们的 Okta 实例。我们能够利用我们的 Cloudflare Zero Trust 访问、网关和数据丢失防护以及 Cloudforce One 威胁研究来验证事件的范围,并在攻击者访问客户数据、客户系统或我们的生产网络之前将其控制住。有了这种信心,我们就能在威胁行为者达到稳定状态之前迅速缓解事件。

根据 Okta 的声明,威胁行为者访问了 Okta 的客户支持系统,并查看了某些 Okta 客户在处理近期支持案例过程中上传的文件。在我们的案例中,威胁行为者似乎能够从 Cloudflare 员工创建的支持工单中截获会话令牌。通过使用从 Okta 截获的令牌,威胁行为者在 10 月 18 日访问了 Cloudflare 系统。在这次复杂的攻击中,我们观察到威胁行为者在 Okta 平台上入侵了两个独立的 Cloudflare 员工帐户。我们在内部检测到了这一活动的时间比 Okta 就入侵事件通知我们的时间早了超过 24 小时。一检测到这一活动,我们的 SIRT 就迅速介入,以确定完整的入侵范围并控制住安全事件。Cloudflare 的 Zero Trust 架构保护着我们的生产环境,帮助避免对客户造成任何影响。

对 Okta 的建议

我们敦促 Okta 考虑实施以下最佳做法,其中包括:

  • 严肃对待任何入侵报告,并立即采取行动限制损失;在这个案例中,BeyondTrust 早在 2023 年 10 月 2 日就通知了 Okta,但至少在 2023 年 10 月 18 日之前,攻击者仍可访问其支持系统。

  • 当你们发现你们的系统被入侵并影响到客户时,你们应该负责任地及时向客户披露。

  • 要求使用硬件密钥保护所有系统,包括第三方支持提供商。

对于像 Okta 这样的重要安全服务提供商来说,我们认为遵循这些最佳做法十分重要。

对 Okta 客户的建议

如果您是 Okta 的客户,我们建议您与 Okta 联系,以进一步了解对您的组织可能造成的影响。我们还建议采取以下措施:

  • 为所有用户帐户启用硬件 MFA。仅凭密码达不到防范攻击所需的保护程度。我们强烈建议使用硬件密钥,因为其他 MFA 方法容易受到网络钓鱼攻击。

  • 调查以下事件并作出反应:

    • 您的 Okta 实例的所有非预期密码和 MFA 更改。

    • 由支持人员引发的可疑事件。

    • 确保所有密码重置有效,并强制重置任何可疑的密码。

    • 与 MFA 相关的任何可疑事件,确保用户帐户配置中只有有效的 MFA 密钥。

  • 监控以下事件:

    • 创建新的 Okta 用户。

    • 重新激活 Okta 用户。

    • 所有会话都与适当的身份验证相关联。

    • 所有 Okta 帐户和权限更改。

    • MFA 策略覆盖、MFA 更改和 MFA 移除。

    • 敏感应用程序降级。

    • 供应链供应商访问您的租户。

  • 审核会话过期策略,以限制会话劫持攻击。

  • 利用工具验证连接到关键系统的设备,如 Cloudflare 访问设备态势检查。

  • 实行纵深防御作为您的检测和监控策略。

Cloudflare 的安全和 IT 团队在此次入侵事件后继续保持警惕。如果 Okta 披露更多信息或通过额外的日志分析发现更多信息,我们将发布本篇博客文章的更新。

Cloudflare 的安全事件响应团队正在招贤纳士

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
OktaPost Mortem1.1.1.1

在 X 上关注

Lucas Ferreira|@lucassapao
Grant Bourzikas|@GrantBourzikas
Cloudflare|@cloudflare

相关帖子

2024年10月15日 13:00

Protect against identity-based attacks by sharing Cloudflare user risk scores with Okta

Uphold Zero Trust principles and protect against identity-based attacks by sharing Cloudflare user risk scores with Okta. Learn how this new integration allows your organization to mitigate risk in real time, make informed access decisions, and free up security resources with automation....

2024年9月24日 13:00

Cloudflare partners with Internet Service Providers and network equipment providers to deliver a safer browsing experience to millions of homes

Cloudflare is extending the use of our public DNS resolver through partnering with ISPs and network providers to deliver a safer browsing experience directly to families. Join us in protecting every Internet user from unsafe content with the click of a button, powered by 1.1.1.1 for Families....