Гигант по управлению идентификацией и доступом Okta предупредил своих клиентов о продолжающейся атаке с подстановкой учетных данных на один из своих инструментов, рекомендуя пользователям либо отключить его, либо использовать ряд средств защиты, чтобы оставаться в безопасности.
В заявлении компании отмечается, что хакеры в течение нескольких недель злоупотребляли функцией перекрестной аутентификации в Customer Identity Cloud (CIC) для проведения атак с подстановкой учетных данных.
«Okta определила, что эта функция в облаке идентификации клиентов (CIC) уязвима для атак со стороны злоумышленников, организующих атаки с подстановкой учетных данных», — говорится в сообщении. «В рамках наших обязательств Okta Secure Identity и нашей приверженности безопасности клиентов мы регулярно отслеживаем и проверяем потенциально подозрительную активность и активно отправляем уведомления клиентам».
Перегрузка страницы входа
Okta Customer Identity Cloud — это комплексная платформа управления идентификацией и доступом (IAM), предназначенная для управления и защиты идентификационных данных клиентов. Совместное использование ресурсов между источниками (CORS) — скомпрометированный механизм безопасности, который позволяет веб-приложениям, работающим в одном источнике (домене), запрашивать ресурсы с сервера в другом источнике.
Наконец, в ходе атаки с подбросом учетных данных хакеры «заполняют» онлайн-страницу входа в систему бесчисленными учетными данными, полученными в других местах, чтобы получить доступ к различным учетным записям.
С помощью CORS клиенты добавляют на свои веб-сайты и в приложения JavaScript, который выполняет вызовы аутентификации к размещенному API Okta. ПипКомпьютер объяснил. Однако эта функция работает только в том случае, если клиенты предоставляют доступ к URL-адресам, из которых можно создавать запросы из разных источников.
Поэтому, если эти URL-адреса не используются активно, их следует отключить, сказал Окта.
Если вы хотите узнать, подверглась ли ваша инфраструктура атаке, вам следует проверить свои журналы на наличие событий fcoa, scoa и pwd_leak, которые являются индикаторами аутентификации между источниками и попыток входа в систему. Если клиент не использует проверку подлинности между источниками, но в журналах отображаются события fcoa и scoa, была предпринята попытка подстановки учетных данных.
Больше от TechRadar Pro
