Okta, Nisan ayından bu yana çok sayıda müşterinin hedef alındığını belirterek, kimlik bilgisi doldurma saldırılarında Müşteri Kimlik Bulutu (CIC) özelliğinin hedef alındığı konusunda uyarıyor.
Okta; uygulamalara, web sitelerine ve cihazlara güvenli erişim için bulut tabanlı çözümler sunan lider bir kimlik ve erişim yönetimi şirketidir. Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA), evrensel dizin, API erişim yönetimi ve yaşam döngüsü yönetimi sunar.
Kimlik bilgisi doldurma saldırısı, tehdit aktörlerinin veri ihlalleri veya bilgi hırsızlığı yapan kötü amaçlı yazılımlar tarafından çalınan kullanıcı adı ve parolalardan oluşan geniş listeler oluşturması ve ardından bunları çevrimiçi hesapları ihlal etmek için kullanmasıdır.
Okta, 15 Nisan 2024’te başlayan ve Müşteri Kimlik Bulutu’nun çapraz kaynak kimlik doğrulama özelliğini kullanan uç noktaları hedef alan kimlik bilgisi doldurma saldırılarını tespit ettiğini söyledi.
Okta’nın duyurusunda “Okta, Müşteri Kimlik Bulutu’ndaki (CIC) özelliğin, kimlik bilgileri doldurma saldırıları düzenleyen tehdit aktörleri tarafından hedef alınmaya yatkın olduğunu belirledi” ifadesine yer verildi.
“Okta Güvenli Kimlik Taahhüdümüzün ve müşteri güvenliğine yönelik taahhüdümüzün bir parçası olarak, potansiyel olarak şüpheli etkinlikleri düzenli olarak izliyor, inceliyor ve müşterilerimize proaktif olarak bildirimler gönderiyoruz.”
Okta’nın Çapraz Kaynaklı Kaynak Paylaşımı (CORS) özelliği, müşterilerin barındırılan Okta API’sine kimlik doğrulama çağrıları göndermek için web sitelerine ve uygulamalarına JavaScript eklemelerine olanak tanır. Bu özelliğin çalışması için müşterilerin çapraz kaynak isteklerinin kaynaklanabileceği URL’lere erişim izni vermesi gerekir.
Okta, bu URL’lerin kimlik bilgisi doldurma saldırılarında hedef alındığını ve kullanımda değillerse devre dışı bırakılması gerektiğini belirtiyor.
Şirket, bu saldırılara hedef olan müşterilere, hesaplarının güvenliğinin sağlanmasına yönelik iyileştirme rehberliği konusunda bilgi verdi.
Okta’nın, Mart 2024’ten bu yana Cisco Talos ürünlerini hedef alan aynı tehdit aktörlerinden kaynaklanan “benzeri görülmemiş” kimlik bilgisi doldurma saldırıları konusunda müşteri tabanını geçen ayın sonlarında uyardığını belirtmekte fayda var.
BleepingComputer, kimlik bilgisi doldurma saldırılarından kaç müşterinin etkilendiğini sormak için Okta ile temasa geçti.
Saldırıları tespit etmek
Okta, yöneticilerin çapraz kaynak kimlik doğrulamasını ve sızdırılmış kimlik bilgileri kullanılarak oturum açma girişimlerini gösteren ‘fcoa’, ‘scoa’ ve ‘pwd_leak’ olayları için günlükleri kontrol etmesini önerir.
Kiracıda çapraz kaynak kimlik doğrulaması kullanılmıyorsa ancak ‘fcoa’ ve ‘scoa’ mevcutsa bu, kimlik bilgisi doldurma saldırılarının hedefi olduğunuzu gösterir. Çapraz kaynak kimlik doğrulaması kullanılıyorsa ‘fcoa’ ve ‘scoa’ olaylarında anormal ani artışlar olup olmadığına bakın.
Şüpheli etkinlik 15 Nisan’da başladığından Okta, müşterilerin bu noktadan itibaren günlükleri incelemesini öneriyor.
Okta, kontrollere ek olarak aşağıdaki azaltıcı önlemleri de önermektedir:
- Güvenliği ihlal edilmiş kullanıcı kimlik bilgilerini derhal döndürün (talimatları burada bulabilirsiniz)
- Önerilen seçenek olarak geçiş anahtarlarını kullanarak parolasız, kimlik avına karşı korumalı kimlik doğrulama uygulayın.
- Güçlü parola politikaları uygulayın ve çok faktörlü kimlik doğrulamayı (MFA) uygulayın.
- Kullanılmıyorsa çapraz kaynak kimlik doğrulamasını devre dışı bırakın.
- Kullanılmayan, izin verilen çapraz kökenli cihazları kaldırın.
- Gerekirse çapraz kaynak kimlik doğrulaması için izin verilen kaynakları kısıtlayın.
- Plana bağlı olarak ihlal edilen parola tespitini veya Credential Guard’ı etkinleştirin.
Daha fazla yardıma ihtiyaç duyan müşteriler Okta’nın Müşteri Desteğine veya topluluk forumlarına ulaşabilir.