Okta-Einbruch: Verdächtige Aktivitäten bei 1Password

Am Wochenende wurde bekannt, dass Cyberkriminelle Zugriffstoken des Identitäts- und Zugangsverwaltungsdienstleisters Okta abgreifen und missbrauchen konnten. Betroffen von den Attacken waren Kunden von Okta. 1Password hat nun eingeräumt, ebenfalls zu den Opfern zu gehören.

In einer knappen Mitteilung schreibt 1Password, das Unternehmen habe "verdächtige Aktivitäten auf unserer Okta-Instanz im Zusammenhang mit ihrem Support-System-Vorfall entdeckt. Nach einer gründlichen Untersuchung sind wir zu dem Schluss gekommen, dass auf keine 1Password-Benutzerdaten zugegriffen wurde". Die verdächtigen Aktivitäten seien bereits am 29. September in der Okta-Instanz aufgefallen, die die Apps verwaltet, mit denen die Angestellten von 1Password arbeiteten. "Wir beendeten die Aktivität sofort, untersuchten sie und stellten fest, dass weder die Daten der Mitarbeiter noch andere sensible Systeme gefährdet waren", führt 1Password aus.

1Password: Verdächtige Aktivitäten aufgrund Oktas Support-System-Einbruch

Spät am Freitag vergangener Woche hätte 1Password bestätigen können, dass der Vorfall auf den Einbruch in Oktas Support-Systeme zurückgehe. Weitere Details liefert ein Bericht über den Vorfall (PDF). Aufgeflogen ist der Einbruch, weil das IT-Team eine Mail erhalten habe, dass sie einen Bericht mit der Liste aller Admins bei Okta angefordert hätten. Keiner aus dem Team hatte das angefordert, woraufhin das mit Sicherheitsvorfällen betreute Team alarmiert wurde.

Die Aktivitäten in der Okta-Umgebung von 1Password gingen von einer verdächtigen IP-Adresse aus und die Angreifer erlangten Zugriff mit Administratorrechten. Die Vorgehensweise der Einbrecher zeigte Ähnlichkeiten zu einer bekannten Kampagne, bei der sie Super-Admin-Konten kompromittieren, dann versuchen, den Authentifizierungsfluss zu manipulieren und sekundäre Identity Provider einzurichten, mit der sie Nutzerinnen und Nutzer der betroffenen Organisiation imitieren.

1Passwords initiale Untersuchung lieferte keine Belege dafür, dass die bösartigen Akteure Systeme außerhalb der Okta-Umgebung zugegriffen hätten. 1Password gehe davon aus, dass die Angreifer anfingen, Informationen mit der Absicht auszuspähen, eine fortschrittlichere Attacke zu starten. Die umgehend eingeleiteten Maßnahmen hätten das Risiko dieses Ereignisses abgewehrt, schreibt 1Password weiter.

Wie es zu dem 1Password-Vorfall kam

Ein IT-Mitarbeiter hatte eine Support-Anfrage an Okta gestellt und infolge dessen eine HAR-Datei mit den Google-Chrome-Entwicklerwerkzeugen für das Debugging erstellt. Darin enthalten ist der ganze Verkehr zwischen Webbrowser und den Okta-Servern, einschließlich sensibler Informationen wie Session-Cookies. Die Angreifer gingen weiter folgendermaßen vor:

• Versuch, auf das Dashboard des IT-Mitarbeiters mit dem Session-Cookie zuzugreifen, was von Okta blockiert wurde
• Bestehende, mit der Google-Produktionsumgebung verknüpfte Identity Provider (IDP) aktualisiert
• IDP aktiviert
• Anfrage eines Berichts mit der Liste der administrativen Nutzer

Die letzte Aktion löste dann bekanntermaßen die Entdeckung und Abwehrmaßnahmen aus. Arstechnica berichtet jedoch, dass eine interne Fassung des Berichts, die einen Tag älter als das veröffentlichte PDF war und auf den 18. Oktober datierte, noch enthielt, dass die Angreifer Gruppenzuweisungen im Okta-Tenant von 1Password anzeigen und "andere Aktionen ausführen konnten, von denen keine in Log-Einträge mündeten".

Am vergangenen Wochenende hat Okta die Sicherheitspanne eingeräumt. Die Angreifer hatten zwei Wochen lang Zugriff, bevor das Unternehmen den Einbruch vollständig eindämmen konnte. Als erstes weiteres Opfer wurde die IT-Sicherheitsfirma BeyondTrust bekannt, die einen Angriff auf Okta-Administrator-Zugänge am 2. Oktober bemerkte und dem Anbieter meldete. Okta bestätigte erst am Donnerstag der vergangenen Woche den betroffenen Kunden, dass das Unternehmen einen Einbruch zu verzeichnen hatte.

(dmk)