Okta avertit qu’une fonctionnalité Customer Identity Cloud (CIC) est ciblée dans les attaques de bourrage d’informations d’identification, indiquant que de nombreux clients ont été ciblés depuis avril.
Okta est une société leader de gestion des identités et des accès fournissant des solutions basées sur le cloud pour un accès sécurisé aux applications, sites Web et appareils. Il offre une authentification unique (SSO), une authentification multifacteur( MFA), un annuaire universel, une gestion des accès aux API et une gestion du cycle de vie.
Une attaque par bourrage d’informations d’identification se produit lorsque des acteurs de la menace créent de grandes listes de noms d’utilisateur et de mots de passe volés lors de violations de données ou par des logiciels malveillants volant des informations, puis les utilisent pour tenter de violer des comptes en ligne.
Okta affirme avoir identifié des attaques de bourrage d’informations d’identification à partir du 15 avril 2024, qui ciblaient les terminaux utilisant la fonctionnalité d’authentification inter-origines de Customer Identity Cloud.
« Okta a déterminé que la fonctionnalité de Customer Identity Cloud (CIC) est susceptible d’être ciblée par des acteurs malveillants orchestrant des attaques de bourrage d’informations d’identification », lit-on dans l’annonce d’Okta.
« Dans le cadre de notre engagement Okta Secure Identity et de notre engagement envers la sécurité des clients, nous surveillons et examinons régulièrement les activités potentiellement suspectes et envoyons de manière proactive des notifications aux clients. »
La fonctionnalité de partage de ressources d’origine croisée (CORS) d’Okta permet aux clients d’ajouter du JavaScript à leurs sites Web et applications pour envoyer des appels d’authentification à l’API hébergée Okta. Pour que cette fonctionnalité fonctionne, les clients doivent accorder l’accès aux URL à partir desquelles les demandes d’origine croisée peuvent provenir.
Okta indique que ces URL sont ciblées dans les attaques de bourrage d’informations d’identification et doivent être désactivées si elles ne sont pas utilisées.
La société a informé les clients ciblés par ces attaques avec des conseils de correction sur la sécurisation de leurs comptes.
Il convient de noter qu’Okta a mis en garde sa clientèle contre des attaques de bourrage d’informations d’identification « sans précédent » à la fin du mois dernier, provenant des mêmes acteurs de la menace qui ciblent les produits Cisco Talos depuis mars 2024.
Breachtrace a contacté Okta pour demander combien de clients ont été touchés par les attaques de bourrage d’informations d’identification.
Détection des attaques
Okta recommande aux administrateurs de vérifier les journaux pour les événements « fcoa », « scoa » et « pwd_leak » qui indiquent une authentification d’origine croisée et des tentatives de connexion utilisant des informations d’identification divulguées.
Si l’authentification d’origine croisée n’est pas utilisée sur le locataire mais que « fcoa » et « scoa » sont présents, cela indique que vous êtes ciblé par des attaques de bourrage d’informations d’identification. Si l’authentification d’origine croisée est utilisée, recherchez des pics anormaux dans les événements « fcoa » et « scoa ».
L’activité suspecte ayant commencé le 15 avril, Okta recommande aux clients de consulter les journaux à partir de ce moment-là.
En plus des vérifications, Okta suggère les atténuations suivantes:
- Faire pivoter immédiatement les informations d’identification des utilisateurs compromis (instructions disponibles ici)
- Implémentez une authentification sans mot de passe et résistante au phishing, les clés d’authentification étant l’option recommandée.
- Appliquez des politiques de mots de passe forts et implémentez l’authentification multifacteur (MFA).
- Désactivez l’authentification d’origine croisée si elle n’est pas utilisée.
- Retirez les dispositifs d’origine croisée autorisés qui ne sont pas utilisés.
- Limitez les origines autorisées pour l’authentification d’origine croisée si nécessaire.
- Activez la détection de mot de passe violé ou la protection des informations d’identification, selon le plan.
Les clients ayant besoin d’une assistance supplémentaire peuvent contacter le service client d’Okta ou ses forums communautaires.