Der Identitäts- und Zugriffsverwaltungsriese Okta hat seine Kunden vor einem laufenden Credential-Stuffing-Angriff auf eines seiner Tools gewarnt und den Benutzern empfohlen, diesen entweder zu deaktivieren oder eine Reihe von Abwehrmaßnahmen anzuwenden, um sicher zu bleiben.
In einer Mitteilung des Unternehmens wurde darauf hingewiesen, dass Hacker seit mehreren Wochen die Cross-Origin-Authentifizierungsfunktion in der Customer Identity Cloud (CIC) missbrauchen, um Credential-Stuffing-Angriffe durchzuführen.
„Okta hat festgestellt, dass die Funktion in der Customer Identity Cloud (CIC) anfällig dafür ist, von Bedrohungsakteuren angegriffen zu werden, die Credential-Stuffing-Angriffe orchestrieren“, heißt es in der Ankündigung. „Im Rahmen unseres Okta Secure Identity Commitment und unserer Verpflichtung zur Kundensicherheit überwachen und überprüfen wir routinemäßig potenziell verdächtige Aktivitäten und senden proaktiv Benachrichtigungen an Kunden.“
Überladen der Anmeldeseite
Okta Customer Identity Cloud ist eine umfassende Plattform für Identitäts- und Zugriffsverwaltung (IAM), die zur Verwaltung und Sicherung von Kundenidentitäten entwickelt wurde. Cross-Origin Resource Sharing (CORS), ein missbrauchter Sicherheitsmechanismus, der es Webanwendungen, die an einem Ursprung (Domäne) ausgeführt werden, ermöglicht, Ressourcen von einem Server an einem anderen Ursprung anzufordern.
Bei einem Credential-Stuffing-Angriff schließlich „füllen“ Hacker eine Online-Anmeldeseite mit zahllosen anderswo erlangten Anmeldeinformationen voll, um sich so Zugang zu verschiedenen Konten zu verschaffen.
Mit CORS fügen Kunden ihren Websites und Anwendungen JavaScript hinzu, das Authentifizierungsaufrufe an die gehostete Okta-API sendet, erklärt BleepingComputer. Die Funktion funktioniert jedoch nur, wenn Kunden Zugriff auf die URLs gewähren, von denen aus Cross-Origin-Anfragen erstellt werden können.
Wenn diese URLs nicht aktiv verwendet werden, sollten sie daher deaktiviert werden, sagte Okta.
Wer wissen möchte, ob seine Infrastruktur bereits Ziel eines Angriffs war, sollte seine Protokolle auf „fcoa“, „scoa“ und „pwd_leak“-Ereignisse überprüfen, die Hinweise auf Cross-Origin-Authentifizierung und Anmeldeversuche sind. Wenn der Mandant keine Cross-Origin-Authentifizierung verwendet, die Protokolle jedoch fcoa- und scoa-Ereignisse aufweisen, wurde ein Credential-Stuffing-Versuch unternommen.
