Този път мишена на недоброжелателите е функцията за кръстосано удостоверяване на произход на доставчика на услуги за управление на идентичността.
За втори път в рамките на малко повече от месец доставчикът на услуги за управление на идентичността Okta предупреждава за атаки с подправяне на удостоверения, този път срещу функцията за удостоверяване на кръстосан произход на своето предложение за удостоверяване Customer Identity Cloud (CIC).
„Подозрителната дейност“ започна на 15 април, когато Okta забеляза, че крайните точки, използвани за поддръжка на функцията за удостоверяване на кръстосан произход на CIC, са атакувани за първи път за „редица наши клиенти“, според предупреждение, публикувано на уебсайта на компанията по-рано тази седмица.
Атаките за попълване на удостоверения се случват, когато противници се опитват да се регистрират в онлайн услуги, използвайки големи списъци с потребителски имена и пароли, вероятно получени от предишни пробиви в данните, фишинг или кампании за зловреден софтуер.
В края на миналия месец Okta също предупреди за поредица от подобни атаки срещу нейната услуга в същия период от време; тези атаки са били извършени главно чрез анонимизиращо устройство като Tor или са били насочени през различни домашни проксита като NSOCKS, Luminati и Datalmpulse.
Okta „проактивно“ информира клиентите с активирана функция за удостоверяване на кръстосан произход за атаките и предостави подробни насоки за смекчаване и предотвратяване.
Кръстосаното удостоверяване на произхода е част от функцията на Okta за споделяне на ресурси от различен произход (CORS), която позволява на уебстраницата да извършва Ajax повикване с помощта на XML заявки, така че клиентите могат да позволят на JavaScript, работещ на клиентския браузър, да взаимодейства с ресурси от различен произход.
„Такива заявки от различни домейни в противен случай биха били забранени от уеб браузърите, както е посочено в политиката за сигурност на същия произход“, според ресурсната страница за разработчици на Okta. „CORS дефинира стандартизиран начин, по който браузърът и сървърът могат да си взаимодействат, за да определят дали да разрешат кръстосаната заявка за произход.“
Клиентите на Okta, използващи CORS, трябва да прегледат следните събития в дневниците на своите тенанти, за да определят дали са били обект на посегателство: „FCOA“ или неуспешно удостоверяване на кръстосания произход; „SCOA“ или успешно удостоверяване на кръстосания произход; и „pwd_leak“ или някой се опитва да влезе с изтекла парола.
Дори ако наемателят на даден клиент не използва кръстосано удостоверяване на произход, но в регистрите на събитията има събития SCOA или FCOA, според Okta все още е вероятно наемателят да е бил обект на атака.
Освен това, ако при наемател, който използва кръстосано удостоверяване на произхода, се наблюдава рязко увеличение на броя на събитията SCOA през април или увеличение на съотношението между събитията с неуспех и успех – т.е. FCOA/SCOA – тогава също е вероятно наемателят да е бил мишена.
Клиентите, изложени на риск от атаките, могат също така да ограничат разрешените произходи и да активират откриването на нарушена парола за засегнатите наематели.
Като се има предвид, че credential-stuffing атаките се превръщат в повтарящ се проблем за клиентите на Okta – наред с безброй други организации – компанията предостави и насоки за дългосрочна защита, за да предотврати появата им. Действително, високопоставени клиенти като 23andMe, Roku и марката за облекло Hot Topic са станали жертви на тези видове атаки.
За да ги предотвратят, организациите трябва да запишат потребителите „в удостоверяване без парола, устойчиво на фишинг“, според Okta, която също така предложи, че пасковете са „най-сигурният вариант“.
Ако организацията продължава да използва пароли, администраторите трябва да попречат на потребителите да избират слаби пароли, като изискват от тях да избират „минимум 12 символа и |но части от потребителското име“, според Okta. Многофакторната автентикация (MFA) също може да помогне за предотвратяване на успешни атаки с подправяне на идентификационни данни; всъщност Roku задължи тази защита след своята високопрофилна атака.
Освен това наемателите на Okta, които не използват кръстосано удостоверяване на произхода, могат да деактивират крайните точки, за да елиминират изцяло вектора на атаката, казват от Okta. И очевидно, отбелязаха от компанията, всички пароли, компрометирани при credential-stuffing атака, трябва да бъдат променени незабавно.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
