1Password bloque une attaque liée à celle contre Okta
1Password indique qu’un acteur malveillant a utilisé un fichier HAR volé lors de la récente attaque contre Okta, pour accéder à son propre tenant Okta, mais l’activité a été détectée et bloquée.
1Password est le troisième client à confirmer avoir été affecté par une violation du système de support d’Okta que le fournisseur a révélé la semaine dernière. Mais selon lui, aucune donnée utilisateur n’a été compromise lors de la tentative d’attaque.
Vendredi dernier, Okta a révélé qu’un acteur malveillant avait piraté son système de gestion des demandes de support en utilisant un ensemble d’informations d’authentification volées, puis a consulté des fichiers d’archives HTTP de cas de support client récents (HAR) qui contenaient des jetons de session. Ces derniers auraient ensuite été détournés pour tenter d’accéder aux comptes concernés.
BeyondTrust a révélé qu’il avait initialement détecté et signalé la violation à Okta le 2 octobre, bien que son directeur technique Marc Maiffret ait souligné qu’il avait fallu du temps pour convaincre Okta qu’il était à l’origine de la violation. Cloudflare a également publié vendredi une déclaration confirmant avoir détecté une attaque liée à Okta le 18 octobre.
Ce lundi, 1Password a déclaré avoir découvert une activité malveillante le 29 septembre et déterminé que le vecteur d’attaque initial était la violation du système d’assistance d’Okta. Jusqu’à présent, les trois entreprises ont confirmé que les attaques n’avaient pas affecté leurs clients.
« [Les attaquants] ont mené une reconnaissance initiale avec l’intention de ne pas être détectés dans le but de recueillir des informations pour une attaque plus sophistiquée. »
Rapport 1Password
« L’activité que nous avons observée suggère qu’ils ont mené une reconnaissance initiale avec l’intention de ne pas être détectés dans le but de recueillir des informations pour une attaque plus sophistiquée », a écrit 1Password dans son rapport d’incident de sécurité.
Selon le rapport, un acteur malveillant a abusé d’un fichier HAR de 1Password qui contenait des cookies de session et a utilisé les données pour accéder au portail administratif Okta de l’entreprise. L’auteur impliqué a tenté d’accéder à l’ordinateur portable du membre du personnel d’assistance informatique qui a généré le fichier HAR et a également demandé un rapport sur tous les utilisateurs administratifs, mais ces deux actions ont été bloquées.
Pedro Canahuati, directeur technique de 1Password, a fait la lumière sur l’attaque dans un billet de blog lundi. Il y révèle que 1Password a travaillé avec Okta du 29 septembre au 20 octobre, date à laquelle il a finalement confirmé que l’activité suspecte résultait de la violation du système de support.
Le billet de blog a également relié la violation du système de support à un autre incident de sécurité qu’Okta a divulgué le 31 août et qui impliquait une vague d’attaques en ingénierie sociale. « Le 29 septembre 2023, un membre de l’équipe informatique a reçu une notification inattendue par courrier électronique suggérant qu’il avait initié un rapport Okta contenant une liste d’administrateurs. Il s’est rendu compte qu’il n’avait pas lancé le rapport sur les administrateurs et a alerté notre équipe de réponse aux incidents de sécurité », peut-on lire dans le rapport d’incident de sécurité. « Corroborant avec le support Okta, il a été établi que cet incident partage des similitudes avec une campagne connue où les acteurs malveillants compromettent les comptes de super administrateurs, puis tentent de manipuler les flux d’authentification et d’établir un fournisseur d’identité secondaire pour usurper l’identité d’utilisateurs au sein de l’organisation affectée ».
Connue, cette campagne est survenue entre fin juillet et le 19 août. Quatre clients d’Okta ont été affectés. Alors que Okta lui-même n’a pas été compromis, un acteur malveillant a trompé le personnel du service informatique des organisations visées et l’a convaincu de réinitialiser tous les facteurs d’authentification multifactorielle pour obtenir des rôles hautement privilégiés dans les comptes Okta.
La divulgation d’août d’Okta et la récente divulgation de 1Password indiquent toutes deux qu’un acteur de la menace a mis en place son propre fournisseur d’identité (IdP) pour se connecter aux tenants Okta des victimes. Dans le cas de 1Password, l’acteur impliqué a mis en place son propre IdP sur Google et a tenté de le connecter au tenant Okta de 1Password, mais la tentative a échoué.
