4月27日身分验证解决方案业者Okta的资安团队提出警告,继思科从3月下旬发现锁定多个厂牌的SSL VPN系统的大规模暴力破解攻击,他们也在本月19日至26日,发现针对客户的帐号填充(Credential Stuffing)攻击大幅增加,而且,攻击来源疑似是几乎相同的攻击基础设施。
究竟对方如何取得使用者的帐密资料?该公司认为,骇客很可能是透过其他资料外泄事故,或是借由网路钓鱼及恶意软体攻击取得。
值得留意的是,这些攻击具有相同的特征,那就是骇客仰赖Tor这类匿名服务来发出请求,而且,数以百万的请求过程,也都透过非法代理伺服器服务(Residential Proxies)进行。
而对于遭到攻击的组织,Okta指出具有相似的组态,那就是他们大多执行Okta Classic Engine,而名为ThreatInsight的功能仅启用稽核模式。此外,这些组织的身分验证政策当中,也允许来自匿名代理伺服器发出的请求。
对此,Okta也提出一系列防护措施,包含启用ThreatInsight的事件记录功能与加强防护模式、切换采用Okta Identity Engine、禁止来自匿名代理伺服器的存取等。但究竟有多少用户受害?该公司并未说明。