Okta заявила о «беспрецедентных» атаках с подстановкой учётных данных
Okta предупредила клиентов о «беспрецедентном» всплеске атак с подстановкой учётных данных, нацеленных на решения компании по управлению идентификацией и доступом. В результате атак были взломаны некоторые аккаунты клиентов.
Злоумышленники используют подтасовку данных для компрометации учётных записей пользователей, автоматически перебирая списки имён пользователей и паролей, которые обычно приобретаются у киберпреступников.
Okta отмечает, что атаки, похоже, исходят из той же инфраструктуры, которая использовалась в атаках методом перебора паролей. О ней ранее сообщала Cisco Talos. Во всех атаках запросы поступали через сеть Tor и различные резидентные прокси (например, NSOCKS и DataImpulse).
Okta сообщает, что наблюдаемые атаки были особенно успешными против организаций, работающих на Okta Classic Engine с ThreatInsight, настроенным в режиме «только аудит», а не в режиме «Log and Enforce».
Организации, которые не запрещают доступ анонимизирующим прокси-серверам, также отмечают более высокий уровень успешных атак.
Компания предлагает набор действий, способных блокировать эти атаки на границе сети:
включить ThreatInsight в режиме журнала и принудительного применения, чтобы заблаговременно блокировать IP-адреса, замешанные в подстановке учётных данных ещё до попыток пройти аутентификацию;
запретить доступ анонимизирующим прокси-серверам для превентивной блокировки запросов, поступающих через теневые службы анонимизации. При этом Okta Identity Engine предлагает более надёжные функции безопасности, включая проверку CAPTCHA входов в систему и варианты аутентификации без пароля, такие как Okta FastPass;
внедрить динамические зоны, которые позволяют организациям блокировать или разрешать определённые IP-адреса и управлять
