身份服務提供商Okta周五披露了一起新的安全事件，黑客利用竊取的憑證訪問了其支持案例管理系統。

Okta首席安全官David Bradbury表示：該攻擊者能夠查看部分Okta客戶上傳的文件。需要注意的是，Okta 支持案例管理系統與生產型 Okta 服務是分開的，后者是正常運行的，沒有受到影響。該公司還強調，其 Auth0/CIC 案例管理系統沒有受到此次漏洞的影響，并指出目前已經直接通知了受到影響的客戶。

不過，該公司表示，客戶支持系統也被用于上傳 HTTP 存檔（HAR）文件，以復制最終用戶或管理員的錯誤路徑來進行故障排除。

Okta 警告說：HAR 文件可能包含敏感數據，包括 cookie 和會話令牌，惡意行為者可以利用這些數據冒充有效用戶。Okta還進一步表示，他們正在與受影響的客戶溝通，確保內嵌的會話令牌被撤銷，以防止它們被濫用。

目前，Okta尚未透露攻擊的規模、事件發生的時間以及何時檢測到未經授權的訪問。盡管如此，BeyondTrust 和 Cloudflare 這兩家客戶已確認在最新的支持系統攻擊中成為目標。Cloudflare表示：威脅者從Cloudflare員工創建的怕憑證中劫持了一個會話令牌。利用從 Okta 提取的令牌，威脅者于 10 月 18 日訪問了 Cloudflare 系統。

安全公司表示，這是一次復雜的攻擊，幕后的攻擊者入侵了Okta平臺上兩個獨立的Cloudflare員工賬戶。該公司強調，此次事件沒有導致任何客戶信息或系統被訪問。

BeyondTrust表示，它已于2023年10月2日向Okta通報了這一漏洞，但對Cloudflare的攻擊表明，對手至少在2023年10月18日之前都可以訪問他們的支持系統。

這家身份管理服務公司稱，其Okta管理員在10月2日向系統上傳了一個HAR文件，以解決一個支持問題，并在共享文件后的30分鐘內檢測到了涉及會話cookie的可疑活動。針對 BeyondTrust 的攻擊企圖最終沒有得逞。

BeyondTrust 發言人告訴記者：BeyondTrust 立即通過自己的身份識別工具 Identity Security Insights 檢測到并修復了這次攻擊，沒有對 BeyondTrust 的基礎設施或客戶造成任何影響或暴露。

在過去的幾年中，Okta 公司遭遇了一系列安全事故，而此次事件是其中最新的一起。該公司已成為黑客的高價值目標，因為其單點登錄（SSO）服務被世界上一些大的公司所使用。

參考鏈接：https://thehackernews.com/2023/10/oktas-support-system-breach-exposes.html