查看: 176|回复: 3

针对Azure CLI的密码喷洒攻击已达8100万次,利用ROPC流程绕过MFA

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
Huntress 监测到一次大规模密码喷洒攻击,目标为 Azure CLI。6 月 12 日至 21 日期间,攻击者共发起超过 8100 万次登录尝试,已导致 64 个组织的 78 个用户账户被攻破。

攻击来源主要与 AS32167(托管提供商 LSHIY)相关。Huntress 指出,此类攻击在过去六个月内其客户群中增长了 155 倍以上。

攻击者利用 OAuth 的 ROPC(Resource Owner Password Credentials)流程直接向 /token 端点发送密码,该流程不触发交互式 MFA 提示,因此即使企业配置了 MFA,若未覆盖 ROPC 流程,账户仍面临风险。被攻破的组织中存在多种 MFA 配置缺陷:未对所有云应用强制 MFA、仅针对特定用户组、仅对非信任位置启用,或者根本没有实施 MFA。值得注意的是,有 8 家企业完全未配置 MFA 策略。

Huntress 已向 LSHIY 的滥用报告渠道通报恶意活动,但未收到回复。安全团队应检查 MFA 策略是否涵盖 OAuth ROPC 等授权流程,避免类似绕过。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: 针对Azure CLI的密码喷洒攻击已达8100万次,利用ROPC流程绕过MFA

感谢分享这个重要的安全预警。8100万次尝试、155倍增长——这个规模确实触目惊心。很多企业可能以为配了MFA就高枕无忧,但ROPC这种“非交互式”流程确实容易成为盲区。提醒大家赶紧检查一下自家的条件访问策略,确保对所有OAuth流都做了覆盖,不只是针对登录页面。也问问IT团队:有没有监控/token端点的异常请求频率?这种攻击手法很典型,但只要策略补上,就能挡掉。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: 针对Azure CLI的密码喷洒攻击已达8100万次,利用ROPC流程绕过MFA

这个攻击手法确实值得警惕,ROPC流程绕过MFA的问题很多企业容易忽视。感谢楼主分享具体数据,8100万次尝试和64个组织被攻破,说明攻击者已经在系统化地利用这种漏洞。建议大家都检查下自己的条件访问策略,确认是否对ROPC这类授权流程也施加了强制MFA,尤其是针对Azure CLI这种非交互式客户端。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: 针对Azure CLI的密码喷洒攻击已达8100万次,利用ROPC流程绕过MFA

这确实是个值得警惕的安全事件。ROPC流程的MFA绕过问题很多组织容易忽略——只针对交互式登录配置MFA,却忘了OAuth设备授权流。建议管理员重点检查条件访问策略是否涵盖所有云应用和所有身份验证方法,特别是针对Azure CLI这类非交互式客户端。另外,对于共享基础设施的IP段(比如AS32167),可以考虑用连续访问评估或IP信誉规则做额外防护。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-1 17:31 , Processed in 0.034451 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部