根据周二的一份报告,Authomize的研究人员在身份和访问管理(IAM)平台Okta中发现了四个具有"高影响"的安全风险。
这些风险包括通过SCIM(跨域身份管理系统)的明文密码泄漏,通过未加密的HTTP通道共享密码和其他数据,允许管理员入侵其他组织的IT环境,以及进行身份日志欺骗。
利用这些风险攻击者可以窃取认证数据,访问敏感的个人和财务信息,并破坏Okta管理的IT环境。
IAM软件可以用来组织管理哪些人可以访问IT环境中的资源。像Okta这样的平台还会提供密码管理和单点登录等功能,使用户能够更无缝地登录,很方便的从一个软件环境转移到另一个软件环境。总而言之,IAM对用户和管理员来说都相当方便的。
然而,一个不安全的IAM对攻击者来说也很方便,原因有很多。Okta中新发现的风险漏洞可能会允许黑客或恶意的内部人员获得密码,接管管理员账户,甚至破坏整个组织的数据。
这里以报告中概述的第三个风险为例。
对于这个全球性的分布式组织,Okta采用了枢纽和辐条架构,母公司("枢纽")监督并为其控制的小型独立企业("辐条")提供服务。研究人员发现,Okta辐条中的管理员可以冒充中心的任何账户或任何连接到中心的下游应用。在该报告中还阐述了这种情况发生的各种假设。
小公司的管理员也可以访问其他企业的IT环境,这其中也包括属于大型财富500强的网络环境,甚至还可以窃取或破坏敏感数据,或利用数据做其他任何事情。
研究人员十分谨慎地将他们的发现描述为 "风险",而不是彻头彻尾的漏洞。当他们与Okta联系时,Okta解释说,这些功能是按设计执行的,不应该被归类为漏洞。这怎么可能呢?
考虑一下我们之前的例子。小公司的管理员可以通过创建一个与枢纽中心的管理员具有相同标识符的用户来获得对枢纽中心和其他机构的访问权限。在一个巨大的枢纽中心和分支环境中,如果两个用户可以拥有相同的用户名,这很可能是有意为之的,目的是使整个组织的访问控制更容易被扩展,同时将控制范围限制在一个特定的网络环境内。然而,在实际应用中,他们可能会将枢纽中心暴露给任何恶意的管理员。
Okta提供了一种关闭用户名重复的方法,但这些控制并不是默认设置的。这也就使用户从最初的设置中就变得不安全。Okta在其应用指南中也很少向用户解释,他们可能会因为这些不安全的默认设置而面临重大风险。
Okta在许多方面都有非常好的安全实践,研究人员指出,我们确信其他IAM供应商也存在类似的问题。因此,在总结他们的研究时,我们的建议是,企业应该采取积极主动的方法,为他们的IAM工具提供独立的安全解决方案。
参考及来源:https://threatpost.com/risks-okta-sso/180249/