Okta está alertando que um recurso de autenticação de origem cruzada no Buyer Identification Cloud (CIC) é suscetível a ataques de preenchimento de credenciais orquestrados por agentes de ameaças.
“Observamos que os endpoints usados para suportar o recurso de autenticação de origem cruzada estão sendo atacados por meio de preenchimento de credenciais para vários de nossos clientes”, disse o provedor de serviços de gerenciamento de identidade e acesso (IAM).
A atividade suspeita começou em 15 de abril de 2024, com a empresa observando que informou “proativamente” os clientes que tinham o recurso habilitado. Não divulgou quantos clientes foram impactados pelos ataques.
O preenchimento de credenciais é um tipo de ataque cibernético no qual os adversários tentam entrar em serviços on-line usando uma lista já disponível de nomes de usuários e senhas obtidas em violações de dados anteriores ou em campanhas de phishing e malware.
Como ações recomendadas, os usuários estão sendo solicitados a revisar os logs do locatário em busca de quaisquer sinais de eventos de login inesperados – falha na autenticação de origem cruzada (fcoa), autenticação de origem cruzada bem-sucedida (scoa) e senha violada (pwd_leak) – alternar credenciais e restringir ou desabilitar a autenticação de origem cruzada para locatários.
É provável que os locatários tenham sido alvo de um ataque de preenchimento de credenciais, independentemente de a autenticação de origem cruzada ser usada ou não, se os eventos scoa ou fcoa estiverem presentes nos logs de eventos e se houver um aumento nos eventos de falha no sucesso.
Outras mitigações incluem ativar a detecção de senha violada ou o Credential Guard, proibir os usuários de escolher senhas fracas e inscrevê-los em autenticação sem senha e resistente a phishing usando novos padrões, como chaves de acesso.
O desenvolvimento chega um mês depois que a empresa alertou sobre um aumento na “frequência e escala” de ataques de preenchimento de credenciais direcionados a serviços on-line que são facilitados pelo uso de serviços de proxy residencial.
