Okta advierte que un autenticación de origen cruzado La característica de Customer Identity Cloud (CIC) es susceptible a ataques de relleno de credenciales orquestados por actores de amenazas.
«Observamos que los puntos finales utilizados para admitir la función de autenticación entre orígenes fueron atacados mediante relleno de credenciales para varios de nuestros clientes», dijo el proveedor de servicios de gestión de identidad y acceso (IAM). dicho.
La actividad sospechosa comenzó el 15 de abril de 2024 y la empresa señaló que informó «proactivamente» a los clientes que tenían la función habilitada. No reveló cuántos clientes se vieron afectados por los ataques.
El relleno de credenciales es un tipo de ciberataque en el que los adversarios intentan iniciar sesión en servicios en línea utilizando una lista ya disponible de nombres de usuario y contraseñas obtenidas de violaciones de datos anteriores o de campañas de phishing y malware.
Como acciones recomendadas, se pide a los usuarios que revisen los registros de los inquilinos en busca de signos de ocurrencia inesperada. eventos de inicio de sesión – autenticación de origen cruzado fallida (fcoa), autenticación de origen cruzado exitosa (scoa) y contraseña violada (pwd_leak): rote las credenciales y restrinja o deshabilite la autenticación de origen cruzado para los inquilinos.
Es probable que los inquilinos hayan sido objeto de un ataque de relleno de credenciales, independientemente de si se utiliza o no la autenticación entre orígenes, si los eventos scoa o fcoa están presentes en los registros de eventos y si hay un aumento en los eventos de falla de éxito.
Otras mitigaciones incluyen habilitar la detección de contraseñas violadas o Credential Guard, prohibir a los usuarios elegir contraseñas débiles e inscribirlos en una autenticación sin contraseña y resistente al phishing utilizando nuevos estándares como claves de acceso.
El desarrollo llega un mes después de que la empresa alertado de un aumento en la «frecuencia y escala» de los ataques de relleno de credenciales dirigidos a servicios en línea que se facilitan mediante el uso de servicios de proxy residenciales.