Okta uyardı “benzeri görülmemiş” Kimlik ve erişim yönetimi çözümlerini hedef alan kimlik bilgisi doldurma saldırılarında ani bir artış yaşandı ve saldırılarda bazı müşteri hesapları ihlal edildi.
Tehdit aktörleri, genellikle siber suçlulardan satın alınan kullanıcı adı ve şifre listelerini otomatik bir şekilde deneyerek kullanıcı hesaplarını tehlikeye atmak için kimlik bilgileri doldurmayı kullanır.
Bugün yayınlanan bir danışma belgesinde Okta, saldırıların daha önce Cisco Talos tarafından bildirilen kaba kuvvet ve parola püskürtme saldırılarında kullanılan altyapının aynısından kaynaklandığını söyledi [1, 2].
Okta’nın gözlemlediği tüm saldırılarda talepler TOR anonimleştirme ağı ve çeşitli yerleşik proxy’ler (örn. NSOCKS, Luminati ve DataImpulse) aracılığıyla geldi.
Etki ve öneriler
Okta, gözlemlenen saldırıların özellikle ThreatInsight’ın Log ve Enforce modu yerine Salt Denetim modunda yapılandırıldığı Okta Classic Engine üzerinde çalışan kuruluşlara karşı başarılı olduğunu söylüyor.
Benzer şekilde, anonimleştirici proxy’lerin erişimini reddetmeyen kuruluşlar da daha yüksek bir saldırı başarı oranı elde etti. Okta, saldırıların müşterilerin küçük bir yüzdesi için başarılı olduğunu söyledi.
Şirket, ağın ucundaki bu saldırıları engelleyebilecek bir dizi eylem sunuyor:
- Kimlik bilgileri doldurmaya dahil olduğu bilinen IP adreslerini kimlik doğrulama girişiminde bulunmadan önce proaktif olarak engellemek için Günlük ve Zorlama Modunda ThreatInsight’ı etkinleştirin.
- Şüpheli anonimleştirme hizmetleri aracılığıyla gelen istekleri proaktif olarak engellemek için anonimleştirici proxy’lerin erişimini reddedin.