Muchas herramientas ZTNA y MFA ofrecen poca protección contra los ataques de secuestro de sesiones de cookies



Muchas de las herramientas que las organizaciones están implementando para aislar el tráfico de Web de la pink interna, como la autenticación multifactor, el acceso a la purple de confianza cero, el SSO y los servicios de proveedores de identidad, hacen poco para proteger contra el robo de cookies, la reutilización y los ataques de secuestro de sesiones.

Los atacantes, de hecho, tienen una manera de eludir todas estas tecnologías y servicios con relativa facilidad porque a menudo carecen de los mecanismos adecuados de validación de la sesión de cookies, dijeron esta semana investigadores de la startup israelí Mesh Security.

Los investigadores examinaron recientemente las tecnologías de Okta, Slack, Monday, GitHub y docenas de otras compañías para ver qué protección ofrecían contra los atacantes que usaban cookies de sesión robadas para apoderarse de cuentas, hacerse pasar por usuarios legítimos y moverse lateralmente en entornos comprometidos.

El análisis mostró que un actor de amenazas que logra robar las cookies de un usuario autenticado y secuestrar sus sesiones podría eludir todos los puntos de control de MFA y otros controles de acceso ofrecidos por estos proveedores. Descubrió que incluso en entornos que habían implementado enfoques MFA y ZTNA, un atacante con cookies de sesión robadas podía acceder a cuentas privilegiadas, aplicaciones SaaS y cargas de trabajo y datos confidenciales.

Con Okta, por ejemplo, los investigadores de seguridad de Mesh descubrieron que si un adversario podía robar las cookies de sesión de un usuario que inició sesión en su cuenta de Okta, podría usarlas para iniciar sesión en la misma cuenta desde un navegador y una ubicación diferentes. Mesh descubrió que el atacante podía acceder a cualquiera de los recursos a los que el usuario estaba autorizado a acceder a través de su cuenta de Okta. «Sorprendentemente, aunque se espera que estos intentos sean bloqueados, la técnica permite al atacante eludir los mecanismos MFA activos ya que la sesión ya ha sido verificada», dijo Mesh en un informe que resume sus hallazgos.

¿No es directamente responsable?

Okta describió tales ataques como un problema del que no period directamente responsable. «Como aplicación web, Okta se basa en la seguridad del navegador y el entorno del sistema operativo para protegerse contra ataques de puntos finales, como complementos de navegador maliciosos o robo de cookies», dijo Mesh citando a Okta. La mayoría de los otros proveedores con los que Mesh contactó sobre el problema se distanciaron de manera identical de cualquier responsabilidad por el robo de cookies, la reutilización y los ataques de secuestro de sesión, dice Netanel Azoulay, cofundador y director ejecutivo de Mesh Security.

«Creemos que este problema es responsabilidad overall de los proveedores de nuestra lista, incluidas las soluciones IdP y ZTNA», insiste Azoulay. «Todo proveedor que promueva intensamente el principio de ‘verificar explícitamente’ debería integrarlo en su propio sistema. La concept de Zero Have faith in es verificar siempre cada interacción digital de manera explícita y nunca confiar».

El robo de cookies y el secuestro de sesiones son problemas bien conocidos y un vector de ataque que muchos actores de amenazas, incluidos los actores de amenazas persistentes avanzadas como APT29, utilizan de forma rutinaria en sus campañas. Las tácticas comunes para robar cookies de sesión incluyen campañas de phishing, trampas de navegación y malware como CookieMiner, Evilnum y QakBot.

Los atacantes a menudo usan cookies de sesión robadas para acceder a aplicaciones y servicios web como un usuario autenticado y tienen acceso hasta que se agota el tiempo de sesión, algo que puede suceder en varias horas o varios días.

Una preocupación creciente

Azoulay dice que el tema es importante porque las organizaciones están pasando cada vez más de un enfoque de seguridad centrado en el perímetro a un modelo más impulsado por la identidad. Organizaciones como Okta y otros proveedores de ZTNA se han convertido en los centros que conectan a los empleados y los recursos, incluidas las aplicaciones SaaS, las cargas de trabajo de IaaS y los datos, a través de portales personalizados basados ​​en navegador. Estos sistemas sirven como la crimson central de las empresas en estos días y brindan un mecanismo de acceso de uno a muchos para los atacantes, dice.

«Las organizaciones están invirtiendo enormes esfuerzos y presupuestos para aislar el tráfico de World-wide-web de su crimson interna mediante la implementación de soluciones de seguridad como IdP, SSO, MFA y ZTNA», dice Azoulay.

“Un actor de amenazas puede eludir potencialmente todo este costoso mecanismo y las medidas de command para llegar a las joyas de la corona de una organización con solo hacer clic en un botón”, dice. «Las técnicas de mitigación actuales no están diseñadas para abordarlo».

En su respuesta al análisis de Mesh, Okta recomendó que los administradores borre las sesiones de un usuario en la interfaz de usuario o a través de su API. La compañía también señaló que el tiempo de espera de la sesión es configurable, desde tan solo 1 minuto hasta 90 días. Una vez que una sesión ha expirado, cualquier sesión copiada también expirará, señaló la compañía. Okta también destacó los pasos que las organizaciones pueden tomar para minimizar el riesgo de las cookies de sesión robadas. Para aplicaciones posteriores, por ejemplo, los administradores de Okta pueden requerir políticas de inicio de sesión adicionales, incluida MFA. De manera comparable, vincular una sesión a un dispositivo registrado o administrado minimizaría el riesgo de que se establezca una sesión no autorizada desde otros dispositivos, dijo Okta.



Enlace a la noticia unique