近日，Okta 警告稱，針對其身份和訪問管理解決方案的憑證填充攻擊出現(xiàn)了“前所未有”的激增，一些客戶賬戶在這些攻擊中遭到入侵。

威脅行為者利用憑證填充攻擊，通過自動化方式嘗試使用從網(wǎng)絡(luò)犯罪分子那里購買的用戶名和密碼列表來入侵用戶賬戶。

Okta 在一份公告中指出，這些攻擊似乎與之前思科 Talos 團(tuán)隊報告的暴力破解和密碼噴射攻擊使用的是相同的基礎(chǔ)設(shè)施。

在 Okta 觀察到的所有攻擊中，請求都是通過 TOR 匿名網(wǎng)絡(luò)以及各種住宅代理（例如NSOCKS、DataImpulse）發(fā)出的。

影響和建議

Okta 表示，觀察到的攻擊對那些運行 Okta 經(jīng)典引擎并配置了僅審計模式而非日志和執(zhí)行模式的 ThreatInsight 的組織尤為成功。同樣，那些沒有拒絕來自匿名代理訪問的組織也面臨更高的攻擊成功率。Okta稱，這些攻擊成功地影響了一小部分客戶。

為了在網(wǎng)絡(luò)邊緣阻止這些攻擊，公司提供了一系列措施：

• 在日志和執(zhí)行模式下啟用ThreatInsight，在這些IP地址嘗試認(rèn)證之前主動阻止已知涉及憑證填充的IP地址。
• 拒絕來自匿名代理的訪問，主動阻止通過不可信的匿名服務(wù)發(fā)出的請求。

• 阻止來自管理控制臺 > 設(shè)置 > 功能 的匿名請求（圖片來源：Okta）
• 切換到 Okta Identity Engine，提供更強大的安全功能，如對風(fēng)險登錄進(jìn)行驗證碼挑戰(zhàn)和 Okta FastPass 等無密碼認(rèn)證選項。

實施動態(tài)區(qū)域（Dynamic Zones），使組織能夠?qū)ｉT阻止或允許某些 IP，并根據(jù)地理位置和其他標(biāo)準(zhǔn)管理訪問。

另外，Okta還在其咨詢意見中提供了一系列更通用的建議，有助于降低賬戶被接管的風(fēng)險。包括免密碼身份驗證、執(zhí)行多因素身份驗證、使用強密碼、拒絕公司所在地以外的請求、阻止聲譽不佳的 IP 地址、監(jiān)控并應(yīng)對異常登錄。

參考來源：https://www.bleepingcomputer.com/news/security/okta-warns-of-unprecedented-credential-stuffing-attacks-on-customers/