Información obtenida desde OKTA nos indica que han observado un aumento sin precedentes en los ataques de “Spuffing” en el robo de credenciales dirigidos a sus soluciones de gestión de identidad y acceso. Los atacantes aprovechan la red de anonimización TOR y los servidores proxy residenciales para comprometer las cuentas de los usuarios.
¿Cuál es la amenaza?
Los ataques “Spuffing” son una forma de ciberataque en el que los atacantes utilizan scripts y herramientas automatizadas para probar sistemáticamente una gran cantidad de combinaciones de usuario y contraseñas obtenidas de sustracción de datos anteriores en la interfaz de inicio de sesión de un servicio objetivo.
Los atacantes aprovechan la amplia disponibilidad de los servicios proxy residencial y listas de credenciales robadas. Esto es para ocultar su verdadera ubicación y automatizar los intentos de inicio de sesión. Al utilizar estas herramientas los atacantes pueden identificar rápidamente combinaciones válidas de nombre de usuario y contraseña para obtener acceso no autorizado a las cuentas de usuario.
OTKA
Los ataques parecen apuntar a organizaciones que utilizan Otka Classic Engine con ThreatInsight configurado en modo de solo auditoria, así como aquellas que no niegan el acceso a servidores proxy anónimos. La explotación exitosa de esta vulnerabilidad puede conducir al acceso no autorizado a información y recursos confidenciales. Provocando filtraciones de datos, perdidas financieras y daños a la reputación de las organizaciones afectadas.
¿Qué aspectos hay que considerar al respecto?
Este tipo de ataque es particularmente relevante debido al uso de las soluciones de gestión de identidad y acceso de OTKA en diversas industrias.
Los ataques de “spuffing” pueden dar lugar a un acceso no autorizado a información y recursos confidenciales, lo que podría provocar filtraciones de datos, perdidas financieras y daños a la reputación de las organizaciones afectadas.
El uso de servicios anónimos como TOR y servidores proxy residenciales dificulta la detección y el bloqueo de estos ataques, lo que aumenta el riesgo de una explotación exitosa. Las organizaciones que no tomen medidas proactivas para mitigar esta amenaza corren un mayor riesgo de ser atacas y comprometidas.
¿Cuál es el riesgo?
Este tipo de ataque afecta principalmente a las cuentas de usuario y a la información confidencial almacenada en las soluciones de gestión de acceso a identidad de OTKA.
Los ataques exitosos pueden conducir al acceso no autorizado a cuentas, comprometiendo potencialmente una amplia gama de recursos, incluidos datos confidenciales, registros financieros e información patentada. Además, los atacantes pueden comprometer aun mas los sistemas y redes internos.
Las organizaciones que utilizan el motor clásico de OTKA con ThreatInsight configurado en modo de solo auditoria o aquellas que no niegan el acceso a servidores proxy anónimos corren el riesgo de sufrir daños por esta vulnerabilidad.
¿Cuáles son las recomendaciones?
A continuación, te presentamos algunas recomendaciones para limitar el impacto de esta vulnerabilidad:
- Habilite ThreatInsight en modo Log and Enforce para bloquear proactivamente direcciones IP conocidas por su participación en ataques de Spuffing.
- Deniegue el acceso a servidores proxy anónimos para bloquear solicitudes de servicios anónimos sospechosos.
- Cambien a OTKA Identity Engine para obtener funciones de seguridad mejoradas, incluidos desafíos CAPTCHA para inicios de sesión riesgosos y opciones de autenticación sin contraseña como OTKA FastPass.
- Implementación de Zonas Dinámicas para bloquear o permitir específicamente ciertas IPS y administrar el acceso en función de la geolocalización y otros criterios.
- Aplicación de mejores prácticas, como una autenticación sin contraseña, una autenticación Multifactor, el uso de contraseñas seguras, denegación de solicitudes fuera de las ubicaciones de la empresa, bloqueo de direcciones IP de mala reputación y monitoreo de respuesta a inicio de sesión anómalos.
Autenticación Multifactor
Las contraseñas no son suficientes. La autenticación multifactor agrega una capa adicional de protección a las cuentas de usuario y privilegiadas, eliminando el compromiso de la cuenta y las amenazas relacionadas con la identidad.
Acércate a nosotros para brindarte más información de nuestro programa de canales:
- Sitio web: www.pccommayorista.comRegistro de canales:
- https://www.pccommayorista.com/Socio-censornet-suite.aspx
- Teléfono: +52 (55) 5599.0670
- Correo de contacto: contacto@pccommayorista.com
JR