Търсене
Close this search box.

Okta отново предупреждава за подправяне на удостоверения

Този път мишена на недоброжелателите е функцията за кръстосано удостоверяване на произход на доставчика на услуги за управление на идентичността.

За втори път в рамките на малко повече от месец доставчикът на услуги за управление на идентичността Okta предупреждава за атаки с подправяне на удостоверения, този път срещу функцията за удостоверяване на кръстосан произход на своето предложение за удостоверяване Customer Identity Cloud (CIC).

„Подозрителната дейност“ започна на 15 април, когато Okta забеляза, че крайните точки, използвани за поддръжка на функцията за удостоверяване на кръстосан произход на CIC, са атакувани за първи път за „редица наши клиенти“, според предупреждение, публикувано на уебсайта на компанията по-рано тази седмица.

Атаките за попълване на удостоверения се случват, когато противници се опитват да се регистрират в онлайн услуги, използвайки големи списъци с потребителски имена и пароли, вероятно получени от предишни пробиви в данните, фишинг или кампании за зловреден софтуер.

В края на миналия месец Okta също предупреди за поредица от подобни атаки срещу нейната услуга в същия период от време; тези атаки са били извършени главно чрез анонимизиращо устройство като Tor или са били насочени през различни домашни проксита като NSOCKS, Luminati и Datalmpulse.

Okta „проактивно“ информира клиентите с активирана функция за удостоверяване на кръстосан произход за атаките и предостави подробни насоки за смекчаване и предотвратяване.

Идентифициране на кибератака срещу CORS

Кръстосаното удостоверяване на произхода е част от функцията на Okta за споделяне на ресурси от различен произход (CORS), която позволява на уебстраницата да извършва Ajax повикване с помощта на XML заявки, така че клиентите могат да позволят на JavaScript, работещ на клиентския браузър, да взаимодейства с ресурси от различен произход.

„Такива заявки от различни домейни в противен случай биха били забранени от уеб браузърите, както е посочено в политиката за сигурност на същия произход“, според ресурсната страница за разработчици на Okta. „CORS дефинира стандартизиран начин, по който браузърът и сървърът могат да си взаимодействат, за да определят дали да разрешат кръстосаната заявка за произход.“

Клиентите на Okta, използващи CORS, трябва да прегледат следните събития в дневниците на своите тенанти, за да определят дали са били обект на посегателство: „FCOA“ или неуспешно удостоверяване на кръстосания произход; „SCOA“ или успешно удостоверяване на кръстосания произход; и „pwd_leak“ или някой се опитва да влезе с изтекла парола.

Дори ако наемателят на даден клиент не използва кръстосано удостоверяване на произход, но в регистрите на събитията има събития SCOA или FCOA, според Okta все още е вероятно наемателят да е бил обект на атака.

Освен това, ако при наемател, който използва кръстосано удостоверяване на произхода, се наблюдава рязко увеличение на броя на събитията SCOA през април или увеличение на съотношението между събитията с неуспех и успех – т.е. FCOA/SCOA – тогава също е вероятно наемателят да е бил мишена.

Клиентите, изложени на риск от атаките, могат също така да ограничат разрешените произходи и да активират откриването на нарушена парола за засегнатите наематели.

Допълнителна защита срещу подмяна на удостоверения

Като се има предвид, че credential-stuffing атаките се превръщат в повтарящ се проблем за клиентите на Okta – наред с безброй други организации – компанията предостави и насоки за дългосрочна защита, за да предотврати появата им. Действително, високопоставени клиенти като 23andMe, Roku и марката за облекло Hot Topic са станали жертви на тези видове атаки.

За да ги предотвратят, организациите трябва да запишат потребителите „в удостоверяване без парола, устойчиво на фишинг“, според Okta, която също така предложи, че пасковете са „най-сигурният вариант“.

Ако организацията продължава да използва пароли, администраторите трябва да попречат на потребителите да избират слаби пароли, като изискват от тях да избират „минимум 12 символа и |но части от потребителското име“, според Okta. Многофакторната автентикация (MFA) също може да помогне за предотвратяване на успешни атаки с подправяне на идентификационни данни; всъщност Roku задължи тази защита след своята високопрофилна атака.

Освен това наемателите на Okta, които не използват кръстосано удостоверяване на произхода, могат да деактивират крайните точки, за да елиминират изцяло вектора на атаката, казват от Okta. И очевидно, отбелязаха от компанията, всички пароли, компрометирани при credential-stuffing атака, трябва да бъдат променени незабавно.

 

Източник: DARKReading

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
Бъдете социални
Още по темата
30/03/2024

Hot Topic е засегната от но...

Американският търговец на дребно Hot Topic...
24/03/2024

Нови фишинг атаки StrelaSte...

Изследователи в областта на киберсигурността са...
12/08/2023

Lapsus$ преминаха на следва...

Правителството на САЩ публикува доклад след...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!