Okta предупредила клиентов о «беспрецедентном» всплеске атак с подстановкой учётных данных, нацеленных на решения компании по управлению идентификацией и доступом. В результате атак были взломаны некоторые аккаунты клиентов.
https://habrastorage.org/getpro/habr...3fd7718892.JPG
Злоумышленники используют подтасовку данных для компрометации учётных записей пользователей, автоматически перебирая списки имён пользователей и паролей, которые обычно приобретаются у киберпреступников.
Okta отмечает, что атаки, похоже, исходят из той же инфраструктуры, которая использовалась в атаках методом перебора паролей. О ней ранее сообщала Cisco Talos. Во всех атаках запросы поступали через сеть Tor и различные резидентные прокси (например, NSOCKS, Luminati и DataImpulse).
Okta сообщает, что наблюдаемые атаки были особенно успешными против организаций, работающих на Okta Classic Engine с ThreatInsight, настроенным в режиме «только аудит», а не в режиме «Log and Enforce».
Организации, которые не запрещают доступ анонимизирующим прокси-серверам, также отмечают более высокий уровень успешных атак.
Компания предлагает набор действий, способных блокировать эти атаки на границе сети:<ul><li>включить ThreatInsight в режиме журнала и принудительного применения, чтобы заблаговременно блокировать IP-адреса, замешанные в подстановке учётных данных ещё до попыток пройти аутентификацию;</li>
</ul><ul><li>запретить доступ анонимизирующим прокси-серверам для превентивной блокировки запросов, поступающих через теневые службы анонимизации. При этом Okta Identity Engine предлагает более надёжные функции безопасности, включая проверку CAPTCHA входов в систему и варианты аутентификации без пароля, такие как Okta FastPass;</li>
</ul><ul><li>внедрить динамические зоны, которые позволяют организациям блокировать или разрешать определённые IP-адреса и управлять доступом на основе геолокации и других критериев.</li>
</ul>Okta также предоставляет список более общих рекомендаций, которые позволят снизить риск захвата учётных записей. К ним относятся аутентификация без пароля, обеспечение многофакторной аутентификации, использование надёжных паролей, отказ в запросах за пределами офисов компании, блокировка IP-адресов с плохой репутацией, мониторинг аномальных входов в систему и реагирование на них.
Ранее Cisco предупредила о крупномасштабной кампании по подбору учётных данных, нацеленной на сервисы VPN и SSH на устройствах Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по всему миру. Получив доступ к этим данным, злоумышленники могут использовать их для захвата устройства или получения доступа к внутренней сети.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.bleepingcomputer.com/news/security/okta-warns-of-unprecedented-credential-stuffing-attacks-on-customers/</pre>