Hackerangriffe auf Check Point VPNs zur Durchdringung von Unternehmensnetzwerken

Check Point Software Technologies veröffentlichte am Montag eine neue Bedrohungswarnung, die vor dem zunehmenden Interesse bösartiger Gruppen warnt, Remote Access VPN-Geräte als Einstiegspunkt und Angriffsvektor in Unternehmen zu nutzen.

Für diejenigen, die es nicht wissen: Check Points Remote Access VPN (Virtual Private Network) bietet Benutzern sicheren, nahtlosen Remote-Zugriff auf Apps und Daten, die sich im Unternehmensrechenzentrum und Hauptsitz befinden, wenn sie reisen oder remote arbeiten. Es verschlüsselt den gesamten Datenverkehr, den Benutzer senden und empfangen.

Sicherheitsforscher von Check Point Software Technologies, einem führenden Anbieter von Cybersicherheitslösungen für Unternehmen und Regierungen weltweit, sagten, dass Bedrohungsakteure daran interessiert sind, über Remote-Access-Setups Zugang zu Organisationen zu erhalten.

Dies kann ihnen helfen, bedeutende Unternehmensressourcen und Benutzer zu finden und nach Schwachstellen zu suchen, um auf wichtigen Unternehmensressourcen persistent zu werden.

„Wir haben kürzlich kompromittierte VPN-Lösungen beobachtet, einschließlich verschiedener Anbieter von Cybersicherheitslösungen. Angesichts dieser Ereignisse haben wir die Versuche überwacht, unbefugten Zugang zu den VPNs der Kunden von Check Point zu erhalten“, sagte das Unternehmen in der Warnung.

Laut Check Point konnte das Unternehmen bis zum 24. Mai 2024 eine kleine Anzahl von Anmeldeversuchen identifizieren, die alte lokale VPN-Konten mit passwortbasierter Authentifizierung verwendeten, eine Methode, die ohne die zusätzliche Schicht der Zertifikatsauthentifizierung als unsicher gilt.

„Wir haben 3 solcher Versuche gesehen, und später, als wir es mit den speziellen Teams, die wir zusammengestellt haben, weiter analysierten, sahen wir, was wir für potenziell dasselbe Muster halten (ungefähr die gleiche Anzahl). Also – ein paar Versuche weltweit insgesamt, aber genug, um einen Trend zu verstehen und insbesondere – eine ziemlich einfache Möglichkeit, um sicherzustellen, dass es erfolglos bleibt“, sagte ein Sprecher von Check Point gegenüber BleepingComputer.

Um diese unbefugten Remote-Zugriffsversuche zu bekämpfen, hat Check Point mehrere präventive Maßnahmen für seine Kunden herausgegeben:

• Überprüfen Sie auf anfällige Konten auf Quantum Security Gateway und CloudGuard Network Security-Produkten sowie auf Mobile Access und Remote Access VPN-Softwareblades;

• Ändern Sie die Benutzerauthentifizierungsmethode in sicherere Optionen;

• Löschen Sie ungenutzte und anfällige lokale Konten aus der Datenbank des Security Management Servers;

• Nutzen Sie den Hotfix für Check Points Security Gateway, um die allgemeine Sicherheit des Produkts zu verbessern, indem lokale Konten blockiert werden, die Check Point-Passwörter als einzigen Authentifizierungsfaktor verwenden.

Für detaillierte Informationen zur Verbesserung der VPN-Sicherheit und Anleitungen zur Reaktion auf unbefugte Zugriffsversuche können Kunden den Supportartikel von Check Point einsehen oder sich an ihr technisches Supportzentrum wenden.

Check Point ist nicht das erste Unternehmen, dessen VPN-Geräte in laufenden Angriffen ins Visier genommen werden.

Im April 2024 warnte auch Cisco vor einem Anstieg von Brute-Force-Angriffen, die VPN- und SSH-Dienste betreffen, einschließlich Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Mikrotik, Draytek und Ubiquiti.

Diese Kampagne begann mindestens am 18. März 2024, wobei die Angriffe von TOR-Ausgangsknoten und einer Reihe anderer anonymisierender Tunnel und Proxys ausgingen, um Blockaden zu verhindern.