Kimlik bilgisi doldurma saldırılarının bu Nisan ayında patladığı konusunda uyaran Okta, müşterilerine, kimlik doğrulama gerçekleşmeden önce konut proxy’lerinden kaynaklanan erişim isteklerini engellemek için mevcut araçları kullanmalarını tavsiye ediyor.
Proxy ağlarının kötüye kullanılması
Okta’dan Moussa Diallo ve Brett Winterford, “Kimlik bilgisi doldurma saldırılarında, saldırganlar ilgisiz kuruluşların önceki veri ihlallerinden veya kimlik avı veya kötü amaçlı yazılım kampanyalarından elde edilen geniş kullanıcı adı ve şifre listelerini kullanarak çevrimiçi hizmetlerde oturum açmaya çalışıyor” dedi.
“Gözlemlediğimiz tüm son saldırıların ortak bir özelliği var: TOR gibi anonimleştirme hizmetleri aracılığıyla yönlendirilen isteklere dayanıyorlar. Milyonlarca talep aynı zamanda NSOCKS, Luminati ve DataImpulse gibi çeşitli konut vekilleri aracılığıyla da yönlendirildi.”
Kimlik bilgisi doldurma saldırıları, komut dosyası oluşturma araçları aracılığıyla otomatikleştirilir.
MDR sağlayıcısı Expel, kısa süre önce, 2023’te araştırılan kimlik tabanlı olayların %69’unun, barındırma sağlayıcıları veya proxy’ler gibi şüpheli altyapılardan gelen kötü amaçlı oturum açma işlemlerini içerdiğini paylaştı.
Okta’nın gözlemlediği bu son saldırılarda kullanılan altyapı, Duo Security ve Cisco Talos araştırmacılarının Mart ayında VPN cihazlarına ve SSH hizmetlerine büyük ölçekli kaba kuvvet saldırıları başlattığını tespit ettiği altyapıya benziyor.
Saldırı trafiğinin “son mili” olarak konut proxy ağlarının artan kullanımı, güvenlik araştırmacılarının gözünden kaçmamıştır.
Bazı kullanıcılar cihazlarına bilerek “proxyware” yüklerken, pek çok kişi farkında olmadan böyle bir ağın parçası oluyor çünkü yazılım geliştirme kitleri (SDK’ler) kullanılarak geliştirilen kötü amaçlı yazılım veya yasal mobil uygulamaları yüklemiş oluyorlar.
Müşteriler için tavsiyeler
“Bu şüpheli isteklerin kimlik doğrulamaya iletildiği müşterilerin küçük bir yüzdesi benzer yapılandırmaları paylaşıyordu: Kuruluş neredeyse her zaman Okta Classic Engine üzerinde çalışıyordu, ThreatInsight yalnızca Denetim modunda yapılandırılmıştı (Günlük Tut ve Zorla modunda değil) ve Kimlik Doğrulama politikaları isteklere izin veriyordu Diallo ve Winterford, “Vekillerin anonimleştirilmesinden” söz etti.
Okta Identity Engine’i kullanmaya geçmek, Log ve Enforce modunda ThreatInsight’ı etkinleştirmek ve anonimleştirilmiş proxy’lerden gelen erişim isteklerini reddetmek bu saldırıları engeller.
“Bu temel özellikler tüm Okta SKU’larında mevcut. Okta Identity Engine’e yükseltme ücretsizdir, genellikle yüksek düzeyde otomatiktir ve riskli oturum açma işlemleri için CAPTCHA sorgulamaları ve Okta FastPass kullanılarak parolasız kimlik doğrulaması da dahil olmak üzere bir dizi özelliğe erişim sağlar” diye eklediler.
Şirket ayrıca hesap ele geçirme girişimlerine karşı savunmaya birçok katman eklenmesi yönünde daha geniş bir öneride bulundu ve bu en son saldırılarda kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) paylaştı.