Kimlik yönetimi hizmet sağlayıcısı, bir aydan kısa bir süre içinde ikinci kez Okta konusunda uyarıda bulunuyor kimlik bilgisi doldurma saldırılarıbu sefer Müşteri Kimlik Bulutu (CIC) kimlik doğrulama teklifinin çapraz kaynak kimlik doğrulama özelliğine karşı.
“Şüpheli faaliyet”, 15 Nisan’da Okta’nın, CIC’nin çapraz köken kimlik doğrulama özelliğini desteklemek için kullanılan uç noktaların ilk olarak “birkaç müşterimiz” için saldırıya uğradığını gözlemlemesiyle başladı. bir uyarı bu hafta başında şirketin web sitesinde yayınlandı.
Kimlik bilgisi doldurma saldırıları, saldırganların büyük olasılıkla daha önceki veri ihlallerinden, kimlik avından veya kötü amaçlı yazılım kampanyalarından elde edilen geniş kullanıcı adı ve şifre listelerini kullanarak çevrimiçi hizmetlerde oturum açmaya çalıştığında meydana gelir.
Geçen ayın sonlarında Okta ayrıca uyardım aynı zaman diliminde hizmetine yönelik benzer saldırıların artması; bu saldırılar büyük ölçüde Tor gibi anonimleştirici bir cihaz aracılığıyla yapıldı veya NSOCKS, Luminati ve Datalmpulse gibi çeşitli yerleşik proxy’ler aracılığıyla yönlendirildi.
Okta, saldırılara karşı çapraz kaynak kimlik doğrulama özelliğinin etkinleştirilmesiyle müşterilerini “proaktif olarak” bilgilendirdi ve saldırıların hafifletilmesi ve önlenmesi için ayrıntılı rehberlik sağladı.
CORS’ta bir Siber Saldırının Belirlenmesi
Çapraz köken kimlik doğrulaması, Okta’nın Çapraz Kökenli Kaynak Paylaşımı (CORS) özelliğinin bir parçasıdır; bu özellik, bir web sayfasının XML isteklerini kullanarak Ajax çağrısı yapmasına olanak tanır; böylece müşteriler, farklı bir kaynaktan gelen kaynaklarla etkileşim kurmak için tarayıcı istemcisinde çalışan JavaScript’i etkinleştirebilir. .
“Aksi takdirde bu tür etki alanları arası istekler, aynı kaynak güvenlik politikasında belirtildiği üzere Web tarayıcıları tarafından yasaklanacaktır.” Okta geliştirici kaynak sayfası. “CORS, çapraz kaynak isteğine izin verilip verilmeyeceğini belirlemek için tarayıcının ve sunucunun etkileşime girebileceği standartlaştırılmış bir yolu tanımlar.”
CORS kullanan Okta müşterileri, hedeflenip hedeflenmediklerini belirlemek için kiracı günlüklerindeki aşağıdaki olayları incelemelidir: “FCOA” veya başarısız çapraz kaynak kimlik doğrulaması; “SCOA” veya başarılı çapraz kaynak kimlik doğrulaması; ve “pwd_leak” veya sızdırılmış bir şifreyle oturum açmaya çalışan biri.
Okta’ya göre, müşterinin kiracısı çapraz kaynak kimlik doğrulamasını kullanmasa ancak olay günlüklerinde SCOA veya FCOA olayları mevcut olsa bile kiracının hedef alınmış olması muhtemeldir.
Ayrıca, çapraz kaynak kimlik doğrulaması kullanan bir kiracı, Nisan ayında SCOA olaylarında ani bir artış veya başarısızlık/başarı olaylarının oranında (yani FCOA/SCOA) bir artış gördüyse, o zaman kiracının da hedef alınmış olması muhtemeldir.
Saldırı riski altındaki müşteriler ayrıca izin verilen kaynakları kısıtlayabilir ve etkilenen kiracılar için ihlal edilen parolaların tespitini etkinleştirebilir.
Kimlik Bilgisi Doldurmaya Karşı Daha Fazla Savunma
Kimlik bilgisi doldurma saldırılarının, diğer birçok kuruluşun yanı sıra Okta müşterileri için de tekrar eden bir sorun haline geldiği göz önüne alındığında, şirket aynı zamanda bu saldırıların meydana gelmesini önlemek için uzun vadeli savunma konusunda da rehberlik sağladı. Gerçekten de, yüksek profilli müşteriler 23veBen, RokuVe Sıcak konu hazır giyim markalarının tümü bu tür saldırıların kurbanı oldu.
Okta’ya göre, bunları önlemek için kuruluşların kullanıcıları “şifresiz, kimlik avına karşı dayanıklı kimlik doğrulamaya” kaydetmesi gerekiyor. geçiş anahtarları “en güvenli seçenektir.”
Okta’ya göre, bir kuruluş şifre kullanmaya devam ederse, yöneticilerin kullanıcıların zayıf şifreler seçmesini engellemesi, “minimum 12 karakterden oluşan ve | kullanıcı adının hiçbir kısmını içermeyen” şifreler seçmesini gerektirmesi gerekiyor. Çok faktörlü kimlik doğrulama (MFA), kimlik bilgisi doldurma saldırılarının başarılı olmasını önlemeye de yardımcı olabilir; Aslında Roku, yüksek profilli saldırısından sonra bu savunmayı zorunlu kıldı.
Ayrıca Okta, çapraz kaynak kimlik doğrulaması kullanmayan Okta kiracılarının, saldırı vektörünü tamamen ortadan kaldırmak için uç noktaları devre dışı bırakabileceğini söyledi. Ve tabii ki şirket, kimlik bilgileri doldurma saldırısında ele geçirilen şifrelerin derhal değiştirilmesi gerektiğini belirtti.