Okta, el gigante de la gestión de identidades y acceso, advirtió a los clientes sobre un ataque de relleno de credenciales en curso contra una de sus herramientas y sugirió a los usuarios que la deshabiliten o implementen una serie de mitigaciones para mantenerse seguros.
Un anuncio de la compañía señaló cómo los piratas informáticos han estado abusando de la función de autenticación compartida Customer Identity Cloud (CIC) para lanzar ataques de relleno de credenciales durante varias semanas.
“Okta ha determinado que la función en Customer Identity Cloud (CIC) es vulnerable a ser atacada por actores de amenazas que orquestan ataques de relleno de credenciales”, decía el anuncio. “Como parte de Okta Secure Identity y nuestro compromiso con la seguridad del cliente, monitoreamos y revisamos de forma rutinaria las actividades sospechosas y enviamos notificaciones de forma proactiva a los clientes”.
Llenando la página de inicio de sesión
Okta Customer Identity Cloud es un servicio de extremo a extremo Gestión de identidad y acceso. Una plataforma IAM diseñada para gestionar y proteger las identidades de los clientes. El intercambio de recursos entre orígenes (CORS), del que se abusa, es un mecanismo de seguridad que permite que las aplicaciones web que se ejecutan en un origen (dominio) soliciten recursos de un servidor en un origen diferente.
Finalmente, un ataque de relleno de credenciales ocurre cuando los piratas informáticos “rellenan” una página de inicio de sesión en línea con innumerables credenciales obtenidas de otros lugares, en un intento de ingresar a diferentes cuentas.
Al utilizar CORS, los clientes agregan JavaScript a sus sitios web y aplicaciones, enviando llamadas de autenticación a una API de Okta alojada. pitidocomputadora El explica. Sin embargo, la función solo funciona cuando los clientes otorgan acceso a URL desde las cuales se pueden generar solicitudes de origen cruzado.
Por lo tanto, dijo Okta, si estas URL no se utilizan activamente, deberían desactivarse.
Aquellos interesados en saber si su infraestructura realmente ha sido atacada deben verificar sus registros en busca de eventos “fcoa”, “scoa” y “pwd_leak”, que son evidencia de autenticación entre orígenes e intentos de inicio de sesión. Si el inquilino no utiliza autenticación compartida pero los registros muestran eventos fcoa y scoa, se realizó un intento de relleno de credenciales.