Хакеры используют VPN Check Point для взлома корпоративных сетей

Угрозы нацелены на устройства Check Point Remote Access VPN в рамках продолжающейся кампании по взлому корпоративных сетей, предупреждает компания в своем сообщении, опубликованном в понедельник.

Remote Access интегрирован во все сетевые брандмауэры Check Point. Его можно настроить как VPN клиент для доступа к корпоративным сетям через VPN-клиентов или как SSL VPN Portal для веб-доступа.

Check Point утверждает, что злоумышленники нацелились на шлюзы безопасности со старыми локальными учетными записями, использующими небезопасную аутентификацию только по паролю, которая должна использоваться с аутентификацией по сертификату для предотвращения взлома.

В последнее время мы стали свидетелями взлома VPN-решений, в том числе различных производителей систем кибербезопасности. В свете этих событий мы отслеживали попытки несанкционированного доступа к VPN клиентов Check Point. К 24 мая 2024 года мы выявили небольшое количество попыток входа в систему с использованием старых локальных учетных записей VPN, полагающихся на нерекомендованный метод аутентификации «только пароль». Мы видели 3 такие попытки, а позже, когда мы дополнительно проанализировали их с помощью собранных нами специальных команд, мы увидели то, что, по нашему мнению, потенциально является тем же самым шаблоном (примерно то же самое количество). Так что – несколько попыток в целом, но достаточно, чтобы понять тенденцию и особенно – довольно простой способ убедиться, что она не удалась
- говорится в сообщении компании

Чтобы защититься от этих атак, Check Point предупредила клиентов о необходимости проверить наличие таких уязвимых учетных записей в продуктах Quantum Security Gateway и CloudGuard Network Security, а также в программных блейдах Mobile Access и Remote Access VPN.

Клиентам рекомендуется изменить метод аутентификации пользователей на более безопасный (используя инструкции в этом документе от техподдержки) или удалить уязвимые локальные учетные записи из базы данных Security Management Server.

Компания также выпустила исправление Security Gateway, которое блокирует аутентификацию всех локальных учетных записей с помощью пароля. После установки исправления локальные учетные записи со слабой аутентификацией только по паролю не смогут войти в VPN с удаленным доступом.

Дополнительную информацию о повышении безопасности VPN можно найти в этой статье поддержки, где также даются рекомендации по реагированию на попытки несанкционированного доступа.

VPN-устройства Cisco также подверглись серьезным атакам

Check Point стала второй компанией, предупредившей, что ее VPN-устройства подвергаются атакам в последние месяцы.

В апреле Cisco также предупреждала о широко распространенных атаках с перебором учетных данных, направленных на VPN и SSH-сервисы на устройствах Cisco, Check Point, SonicWall, Fortinet и Ubiquiti.

Эта кампания началась примерно 18 марта 2024 года, причем атаки исходили из узлов выхода TOR и использовали различные другие инструменты анонимизации и прокси для обхода блокировок.

Месяцем ранее Cisco предупредила о волне атак на устройства Cisco Secure Firewall, на которых работают службы удаленного доступа к VPN (RAVPN), что, вероятно, является частью разведывательной деятельности на первом этапе.

Исследователь безопасности Аарон Мартин связал эту активность с недокументированной бот-сетью вредоносных программ, которую он назвал «Brutus» и которая контролировала по меньшей мере 20 000 IP-адресов в облачных сервисах и жилых сетях.

В прошлом месяце компания также сообщила, что поддерживаемая государством хакерская группа UAT4356 (она же STORM-1849) использует ошибки нулевого дня в брандмауэрах Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) для взлома правительственных сетей по всему миру, по крайней мере, с ноября 2023 года в рамках кампании кибершпионажа, отслеживаемой как ArcaneDoor.

Подробнее