Okta está alertando que um recurso de autenticação de origem cruzada no Buyer Identification Cloud (CIC) é suscetível a ataques de preenchimento de credenciais orquestrados por agentes de ameaças.
“Observamos que os endpoints usados para suportar o recurso de autenticação de origem cruzada estão sendo atacados por meio de preenchimento de credenciais para vários de nossos clientes”, disse o provedor de serviços de gerenciamento de identidade e acesso (IAM).
A atividade suspeita começou em 15 de abril de 2024, com a empresa observando que informou “proativamente” os clientes que tinham o recurso habilitado. Não divulgou quantos clientes foram impactados pelos ataques.
O preenchimento de credenciais é um tipo de ataque cibernético no qual os adversários tentam entrar em serviços on-line usando uma lista já disponível de nomes de usuários e senhas obtidas em violações de dados anteriores ou em campanhas de phishing e malware.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuUUskkMH9dUT3LF77_Q_irGuaE4LGjp-Am2Ls_UzGJ5EBnZHfuFiSvKs4OPE5KmfedBHcuZZVHS4Bh48UJx8brpwtg6Vr2Gepbaw-lGMIm9HjUhyphenhyphen2W5DVm5-ymwPS691Ie32TrCqFIv6SxNRA-jOKCKZrOB5dV7BfL0zVAhOO0neNkP9yv-XePBU1hN_0/s728-e365/wing-d.png)
Como ações recomendadas, os usuários estão sendo solicitados a revisar os logs do locatário em busca de quaisquer sinais de eventos de login inesperados – falha na autenticação de origem cruzada (fcoa), autenticação de origem cruzada bem-sucedida (scoa) e senha violada (pwd_leak) – alternar credenciais e restringir ou desabilitar a autenticação de origem cruzada para locatários.
É provável que os locatários tenham sido alvo de um ataque de preenchimento de credenciais, independentemente de a autenticação de origem cruzada ser usada ou não, se os eventos scoa ou fcoa estiverem presentes nos logs de eventos e se houver um aumento nos eventos de falha no sucesso.
Outras mitigações incluem ativar a detecção de senha violada ou o Credential Guard, proibir os usuários de escolher senhas fracas e inscrevê-los em autenticação sem senha e resistente a phishing usando novos padrões, como chaves de acesso.
O desenvolvimento chega um mês depois que a empresa alertou sobre um aumento na “frequência e escala” de ataques de preenchimento de credenciais direcionados a serviços on-line que são facilitados pelo uso de serviços de proxy residencial.