정보보안 스터디 - 24주차 2일 - Okta 로그의 크리덴셜 수집

원문 - https://www.darkreading.com/endpoint/okta-post-exploit-method-exposes-user-passwords

 

☞ Okta 로그의 크리덴셜 수집

Okta IAM(identity access and management) 보안인증 솔루션에서 특이점을 발견했습니다.

 

 

☞ 원인

실수로 username에 password를 입력하는 경우가 있습니다.

이걸 로그에서 확인할 수 있다는 점입니다.

로그에서는 usernames, IP addresses, and login timestamps까지 확인이 가능하며, 로그인이 성공했는지 실패했는지 까지 너무 디테일하게 알려줍니다.

 

따라서 initial-access 를 시도한 threat actor가 그 로그를 확인하면 평문으로 되어있기 때문에

자동화 등 반복적인 로그인 시도를 해볼 수 있습니다. 결국 크리덴셜을 수집하게 되구요. 

 

 

okta는 클라우드 기반의 기업급 IAM 서비스를 제공하며 17000 customer가 있기 때문에 대규모입니다.

각 회사마다 okta솔루션이 설치되어 있고

그 로그를 일반유저도 읽기 전용으로 확인이 가능하게 해두었습니다.

 

결국 크리덴셜을 얻으면 회사 내의 내부 시스템에 접근하여 자산을 훔치는 것이 가능합니다.

 

랩서스 그룹이 Okta의 superuser 크리덴셜을 유출하였다는 것을 주장했고

366 명의 customer 들이 당했다는 것을 알려줍니다.

 

 

 

☞ 대응 방안은

mitiga's gitbub에서 제공되는 SQL 쿼리를 사용할 것을 권장합니다.

또한 유저들이 username 칸에 잘못칠 수 없도록 합니다.

의심이 가는 활동을 모니터링 합니다.

 

다중인증을 도입하면 크리덴셜을 수집하더라도 접근을 막을 수 있습니다.

 

 

비밀번호, 아이디 폼에 매치가 안되면 타이핑 도중 알리는 방법과

생체 인식 등으로 타이핑 없이 접근하는 방법과, 

placeholder 설명에 확실히 써두어 실수를 피하게 하는 방법이 있습니다.