聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Okta 是一家顶级身份和访问管理公司,为应用、网站和设备提供基于云的解决方案,如单点登录 (SSO)、多因素认证 (MFA)、全局目录、API访问管理和生命周期管理等。
凭据填充攻击是指威胁行动者创建庞大的盗自数据攻陷事件或者通过信息窃取恶意软件盗取的用户名和密码清单,之后将这些用户名和密码尝试并攻陷在线账号。
Okta 公司表示在2024年4月15日发现了这些凭据填充攻击,利用CIC的跨来源认证特性的端点。该公司表示,“Okta 认为CIC 中的该特性易遭凭据填充攻击。”Okta 跨源资源分享 (CORS) 特性可使客户将 JavaScript 添加到网站和应用程序,将认证调用发送到所托管的 Okta API。要让该特性运行,则客户必须获得这些URL的访问权限。Okta 公司表示这些URL 遭凭据填充攻击且如不在使用状态则应禁用。该公司已将攻击活动告知客户并提供账户修复指南。值得注意的是,Okta 在上个月末提醒用户关注“前所未有的”凭据填充攻击,而幕后黑手正是2024年3月以来攻击思科 Talos 产品的威胁行动者。
Okta 尚未说明受影响客户的数量。
Okta 公司建议管理员检查日志中是否存在 “fcoa”、“scoa”以及 “pwd_leak” 事件表明使用被泄露的凭据进行的跨源认证和登录尝试。
如跨源认证未在租户上使用但出现 “fcoa” 和 “scoa”,则说明正遭凭据填充攻击。如使用了跨源认证,则应查找 “fcoa” 和 “scoa” 事件的异常剧增。
由于可疑活动始于4月15日,Okta 建议客户查看之后时间的日志。此外,Okta 还提出了如下缓解措施:
-
立即修改受陷的用户凭据
-
执行无密码、反钓鱼的认证,建议使用密钥
-
执行强健的密码策略并执行MFA
-
如不使用,则禁用跨源认证
-
删除不在使用状态的跨源设备
-
必要时限制跨源认证的许可来源
-
根据计划启用受陷的密码检测或Credential Guard(“凭据卫士”)
用户如需进一步的协助,则可求助 Okta 公司的客户支持或社区论坛。
原文始发于微信公众号(代码卫士):Okta:CORS 特性遭凭据填充攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论