Investigadores da Authomize revelaram quatro vulnerabilidades de “alto risco” na plataforma de gestão de identidade e acesso (IAM), Okta, segundo o relatório da terça-feira.
Os perigos englobam o desprendimento de senha de texto legível através do SCIM – o Sistema de Gerenciamento de Identificação de Domínio Compartilhado – partilhando senhas e outras informações sobre canais HTTP não criptografados, padrões de configuração que dão aos administradores acesso aos ambientes de TI de outras organizações e suplantando registros de identidade mutável.
Os indivíduos que aproveitam essas vulnerabilidades podem extrair dados de identificação, obter acesso a informações confidenciais pessoais e financeiras e impedir os sistemas de TI controlados pela Okta.
Os riscos associados ao IAM são mais comuns entre aqueles com mais de 40 anos de idade.
IAM (Gerenciamento de Identidade e Acesso) organiza quem tem acesso a quais recursos em um ambiente de TI. Plataformas como Okta oferecem serviços como gerenciamento de senha e single sign-on, que permitem que os usuários façam login e naveguem entre aplicações. IAMs são extremamente práticos para usuários e administradores.
No entanto, um IAM inseguro é benéfico para os invasores por um grande número de razões iguais. As ameaças recentemente identificadas no Okta podem possibilitar que criminosos ou invasores maliciosos acessem senhas, tomem posse de contas de administrador ou até mesmo deletem dados de uma corporação completa.
Por outras palavras, o terceiro perigo descrito no informe.
A Okta usa um centro e uma arquitetura hub-spoke, onde a empresa-mãe (“hub”) supervisiona e fornece serviços para as pequenas empresas independentes (“spokes”) que controla. Os pesquisadores descobriram que um administrador pode imitar qualquer conta no hub ou um aplicativo conectado ao hub. O relatório indica como isso pode acontecer, de forma hipotética.
A grande corporação Fortune 500 adquiriu uma pequena empresa. O Okta da empresa foi unido como um fator com o principal Okta da corporação, usado como seu hub com a configuração padrão. O administrador da empresa adquirida foi dado super privilégios de administrador ao longo do Okta hub, após passar por um super administrador, com acesso total e ilimitado a todos os aplicativos e serviços da empresa.
O administrador de uma pequena empresa poderia ter acesso aos sistemas de Tecnologia da Informação de outras organizações – incluindo aquelas da Fortune 500 – com a intenção de roubar, destruir ou manipular dados confidenciais.
Qual são essas vulnerabilidades?
Os investigadores se tomaram a precaução de designar as suas descobertas como “risco”, ao invés de vulnerabilidades plenas. Quando contataram a Okta, a empresa esclareceu que “estas características estão a trabalhar conforme planeado e não devem ser consideradas vulnerabilidades”. Como isso poderia ser possível?
No caso do nosso exemplo anterior, o administrador da pequena empresa poderia obter acesso não autorizado ao hub e a outros spokes, criando um usuário com o mesmo identificador que o de um administrador no hub. Porém, ter dois usuários no mesmo hub e ambiente falado com o mesmo nome de usuário pode ser intencional, para facilitar a escalabilidade dos controles de acesso na organização, limitando o escopo de controle a um falado específico. Mas, na prática, isso expõe o hub a qualquer administrador desonesto.
Okta fornece uma abordagem para desativar o duplo nome de usuário, mas essas opções não estão pré-definidas, o que significa que os usuários são colocados em um estado de vulnerabilidade desde as configurações iniciais. Além disso, o guia da Okta é insuficiente para conscientizar seus usuários sobre os riscos significativos que eles estão sujeitos com essas configurações padrão inseguras.
Os investigadores observaram que a Okta tem excelentes medidas de segurança em vários campos e que outros provedores de IAM enfrentam desafios semelhantes. Por isso, eles recomendaram proativamente que as empresas adotem soluções de segurança independentes para suas ferramentas de IAM.
Altere: Divulgue este artigo.
- Todos os seres humanos têm o direito inato à privacidade.
- A segurança na web é fundamental para todos os usuários da internet. É importante que sejam tomadas providências para garantir que os dados particulares e informações sejam mantidas em segurança.