Okta:CORS 特性遭凭据填充攻击
2024-5-30 17:35:41 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Okta 公司提醒称,CIC(客户身份云)特性遭凭据填充攻击,众多客户自4月份就遭攻击。

Okta 是一家顶级身份和访问管理公司,为应用、网站和设备提供基于云的解决方案,如单点登录 (SSO)、多因素认证 (MFA)、全局目录、API访问管理和生命周期管理等。

凭据填充攻击是指威胁行动者创建庞大的盗自数据攻陷事件或者通过信息窃取恶意软件盗取的用户名和密码清单,之后将这些用户名和密码尝试并攻陷在线账号。

Okta 公司表示在2024年4月15日发现了这些凭据填充攻击,利用CIC的跨来源认证特性的端点。该公司表示,“Okta 认为CIC 中的该特性易遭凭据填充攻击。”Okta 跨源资源分享 (CORS) 特性可使客户将 JavaScript 添加到网站和应用程序,将认证调用发送到所托管的 Okta API。要让该特性运行,则客户必须获得这些URL的访问权限。Okta 公司表示这些URL 遭凭据填充攻击且如不在使用状态则应禁用。该公司已将攻击活动告知客户并提供账户修复指南。值得注意的是,Okta 在上个月末提醒用户关注“前所未有的”凭据填充攻击,而幕后黑手正是2024年3月以来攻击思科 Talos 产品的威胁行动者。

Okta 尚未说明受影响客户的数量。

攻击检测

Okta 公司建议管理员检查日志中是否存在 “fcoa”、“scoa”以及 “pwd_leak” 事件表明使用被泄露的凭据进行的跨源认证和登录尝试。

如跨源认证未在租户上使用但出现 “fcoa” 和 “scoa”,则说明正遭凭据填充攻击。如使用了跨源认证,则应查找 “fcoa” 和 “scoa” 事件的异常剧增。

由于可疑活动始于4月15日,Okta 建议客户查看之后时间的日志。此外,Okta 还提出了如下缓解措施:

  • 立即修改受陷的用户凭据

  • 执行无密码、反钓鱼的认证,建议使用密钥

  • 执行强健的密码策略并执行MFA

  • 如不使用,则禁用跨源认证

  • 删除不在使用状态的跨源设备

  • 必要时限制跨源认证的许可来源

  • 根据计划启用受陷的密码检测或Credential Guard(“凭据卫士”)

用户如需进一步的协助,则可求助 Okta 公司的客户支持或社区论坛。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Okta提醒客户注意“史无前例”的凭据填充攻击

攻击者利用Okta被盗令牌黑入Cloudflare

在公司电脑登录个人谷歌账户,Okta 支持系统受陷134家客户受影响

因第三方遭攻击,Okta的5000名员工个人数据被泄露

Okta 支持系统遭攻陷,已有Cloudflare、1Password等三家客户受影响

原文链接

https://www.bleepingcomputer.com/news/security/okta-warns-of-credential-stuffing-attacks-targeting-its-cors-feature/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519622&idx=2&sn=b8b517a2726066b4a82f1ac6165f9aa4&chksm=ea94bcecdde335fa5f395b2751bc2ba27979db6795ad534100d7e3407a5e64e7f28420a24227&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh