Okta, bir müşteri kimlik bulutu (CIC) özelliğinin, Nisan ayından bu yana çok sayıda müşterinin hedeflendiğini belirterek kimlik bilgisi doldurma saldırılarıyla hedeflendiği konusunda uyarıyor.
Okta, uygulamalara, web sitelerine ve cihazlara güvenli erişim için bulut tabanlı çözümler sunan önde gelen bir kimlik ve erişim yönetim şirketidir. Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA), evrensel dizin, API erişim yönetimi ve yaşam döngüsü yönetimi sunar.
Bir kimlik bilgisi doldurma saldırısı, tehdit aktörlerinin veri ihlallerinde veya bilgi çalma kötü amaçlı yazılımlarında çalınan büyük kullanıcı adı ve şifreler listeleri oluşturması ve ardından çevrimiçi hesapları ihlal etmek için kullanmasıdır.
Okta, 15 Nisan 2024'ten itibaren, müşteri kimliği Cloud'un çapraz orijin kimlik doğrulama özelliğini kullanarak uç noktaları hedefleyen kimlik bilgisi doldurma saldırıları belirlediğini söylüyor.
Okta'nın duyurusu, "Okta, Müşteri Kimlik Bulutu'ndaki (CIC) özelliğin, kimlik bilgisi-büro saldırılarını düzenleyen tehdit aktörleri tarafından hedeflenmeye eğilimli olduğunu belirledi."
"OKTA güvenli kimlik taahhüdümüz ve müşteri güvenliğine olan bağlılığımızın bir parçası olarak, potansiyel olarak şüpheli etkinliği rutin olarak izliyor ve gözden geçiriyoruz ve proaktif olarak müşterilere bildirim gönderiyoruz."
OKTA'nın Çapraz Origin Kaynak Paylaşımı (CORS) özelliği, müşterilerin barındırılan OKTA API'sına kimlik doğrulama çağrıları göndermek için web sitelerine ve uygulamalarına JavaScript eklemelerini sağlar. Bu özelliğin çalışması için, müşterilerin çapraz orijin taleplerinin ortaya çıkabileceği URL'lere erişim sağlamalıdır.
OKTA, bu URL'lerin kimlik bilgisi doldurma saldırıları hedeflendiğini ve kullanılmadıkları takdirde devre dışı bırakılması gerektiğini belirtiyor.
Şirket, bu saldırıları hedefleyen müşterileri hesaplarını güvence altına almaya yönelik iyileştirme kılavuzuyla bilgilendirdi.
Okta'nın müşteri tabanını, Mart 2024'ten bu yana Cisco Talos ürünlerini hedefleyen aynı tehdit aktörlerinden kaynaklanan geçen ayın sonlarında "benzeri görülmemiş" kimlik bilgisi doldurma saldırıları konusunda uyardığını belirtmek gerekir.
BleepingComputer, kaç müşterinin kimlik bilgisi doldurma saldırılarından etkilendiğini sormak için Okta ile temasa geçti.
Okta, yöneticilerin günlükleri 'FCOA,' 'SCOA' ve 'PWD_LEAK' olaylarını kontrol etmesini ve sızdırılmış kimlik bilgilerini kullanarak çapraz orijin kimlik doğrulamasını ve giriş denemelerini göstermesini önerir.
Kiracı üzerinde orijinal orijin kimlik doğrulaması kullanılmıyorsa, ancak 'FCOA' ve 'SCOA' mevcutsa, bu, kimlik bilgisi doldurma saldırıları tarafından hedeflendiğinizi gösterir. Çapraz orijin kimlik doğrulaması kullanılırsa, 'FCOA' ve 'ScoA' olaylarında anormal ani artışlar arayın.
Şüpheli etkinlik 15 Nisan'da başladığında, Okta müşterilerin günlükleri o zamandan itibaren gözden geçirmesini önerir.
Kontrollere ek olarak, OKTA aşağıdaki hafifletmeleri önermektedir:
Daha fazla yardıma ihtiyaç duyan müşteriler OKTA'nın müşteri desteğine veya topluluk forumlarına ulaşabilir.
Okta, müşterilere "benzeri görülmemiş" kimlik bilgisi doldurma saldırıları konusunda uyarıyor
Cooler Master, veri ihlalinde çalınan müşteri bilgilerini onaylar
Müşteri bilgilerini ortaya çıkaran veri ihlali tarafından daha serin master vuruldu
İlk Amerikan Aralık veri ihlali 44.000 kişiyi etkiler
Lockbit, Londra Drugsomware saldırısında veri çaldıklarını söylüyor
Kaynak: Bleeping Computer