Okta met en garde contre une augmentation « sans précédent » des attaques de bourrage d’informations d’identification ciblant ses solutions de gestion des identités et des accès, certains comptes clients ayant été piratés lors des attaques.

Les auteurs de menaces utilisent le bourrage d’informations d’identification pour compromettre les comptes d’utilisateurs en essayant de manière automatisée des listes de noms d’utilisateur et de mots de passe généralement achetés auprès de cybercriminels.

Dans un avis publié aujourd’hui, Okta indique que les attaques semblent provenir de la même infrastructure utilisée dans les attaques par force brute et par pulvérisation de mots de passe précédemment signalées par Cisco Talos [1, 2].

Dans toutes les attaques observées par Okta, les requêtes provenaient du réseau d’anonymisation TOR et de divers proxys résidentiels (par exemple NSOCKS, Luminati et DataImpulse).

Impact et recommandations
Okta indique que les attaques observées ont été particulièrement efficaces contre les organisations fonctionnant sur le moteur Okta Classic avec ThreatInsight configuré en mode Audit uniquement plutôt qu’en mode Journalisation et application.

De même, les organisations qui ne refusent pas l’accès aux proxys anonymisants ont également enregistré un taux de réussite des attaques plus élevé. Les attaques ont réussi pour un petit pourcentage de clients, a déclaré Okta.

La société fournit un ensemble d’actions permettant de bloquer ces attaques à la périphérie du réseau:

  • activez Threat Insight en mode Journal et Application pour bloquer de manière proactive les adresses IP connues pour leur implication dans le bourrage d’informations d’identification avant même qu’elles ne puissent tenter de s’authentifier.
  • refuser l’accès aux proxys d’anonymisation pour bloquer de manière proactive les demandes provenant de services d’anonymisation louches.
Blocage des demandes anonymisées depuis Admin Console > Paramètres > Fonctionnalités
  • passage à Okta Identity Engine, qui offre des fonctionnalités de sécurité plus robustes, y compris des défis CAPTCHA pour les connexions risquées et des options d’authentification sans mot de passe comme Okta FastPass.
  • implémentez des zones dynamiques qui permettent aux organisations de bloquer ou d’autoriser spécifiquement certaines adresses IP et de gérer l’accès en fonction de la géolocalisation et d’autres critères.

Okta fournit également dans son avis une liste de recommandations plus génériques qui peuvent aider à atténuer le risque de reprise de compte. Il s’agit notamment de l’authentification sans mot de passe, de l’application de l’authentification multifacteur, de l’utilisation de mots de passe forts, du refus des demandes en dehors des sites de l’entreprise, du blocage des adresses IP de mauvaise réputation, de la surveillance et de la réponse aux connexions anormales.

Breachtrace a contacté Okta pour savoir quel était ce pourcentage et comment les clients étaient impactés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *