El gigante de gestión de identidades y acceso, Okta, advirtió a los clientes sobre un ataque de relleno de credenciales en curso contra una de sus herramientas y sugirió a los usuarios que la deshabiliten o apliquen un conjunto de mitigaciones para mantenerse seguros.
Un anuncio de la compañía señaló cómo los piratas informáticos han estado abusando de la función de autenticación entre orígenes en Customer Identity Cloud (CIC) para montar ataques de relleno de credenciales durante varias semanas.
«Okta ha determinado que la característica de Customer Identity Cloud (CIC) es propensa a ser atacada por actores de amenazas que orquestan ataques de relleno de credenciales», decía el anuncio. «Como parte de nuestro Compromiso de Identidad Segura de Okta y nuestro compromiso con la seguridad del cliente, monitoreamos y revisamos rutinariamente actividades potencialmente sospechosas y enviamos notificaciones de manera proactiva a los clientes».
Rellenar la página de inicio de sesión
Okta Customer Identity Cloud es una plataforma integral de gestión de acceso e identidad (IAM) diseñada para gestionar y proteger las identidades de los clientes. El intercambio de recursos entre orígenes (CORS), del que se abusa, es un mecanismo de seguridad que permite que las aplicaciones web que se ejecutan en un origen (dominio) soliciten recursos de un servidor en un origen diferente.
Finalmente, el ataque de relleno de credenciales ocurre cuando los piratas informáticos “rellenan” una página de inicio de sesión en línea con innumerables credenciales obtenidas en otros lugares, en un intento de ingresar a diferentes cuentas.
Con CORS, los clientes agregan JavaScript a sus sitios web y aplicaciones, lo que envía llamadas de autenticación a la API de Okta alojada. pitidocomputadora explica. Sin embargo, la función solo funciona cuando los clientes otorgan acceso a las URL desde las cuales se pueden crear solicitudes de origen cruzado.
Por lo tanto, si estas URL no se utilizan activamente, deberían desactivarse, dijo Okta.
Aquellos interesados en ver si su infraestructura ya fue atacada deben verificar sus registros en busca de eventos “fcoa”, “scoa” y “pwd_leak”, que son evidencia de autenticación entre orígenes e intentos de inicio de sesión. Si el inquilino no utiliza la autenticación entre orígenes pero los registros muestran eventos fcoa y scoa, entonces se ha realizado un intento de relleno de credenciales.