Los hackers atacan los VPN de Check Point para violar redes empresariales

Check Point Software Technologies publicó un nuevo aviso de amenaza el lunes que advierte sobre el creciente interés de grupos maliciosos en atacar dispositivos VPN de Acceso Remoto como punto de entrada y vector de ataque en las empresas.

Para aquellos que no lo saben, el VPN de Acceso Remoto (Red Privada Virtual) de Check Point ofrece a los usuarios acceso remoto seguro y sin interrupciones a aplicaciones y datos que residen en el centro de datos corporativo y en la sede cuando viajan o trabajan de forma remota. Cifra todo el tráfico que los usuarios envían y reciben.

Los investigadores de seguridad de Check Point Software Technologies, un proveedor líder de soluciones de ciberseguridad para empresas y gobiernos a nivel mundial, dijeron que los actores de amenazas están interesados en obtener acceso a las organizaciones a través de configuraciones de acceso remoto.

Esto puede ayudarles a encontrar activos empresariales significativos y usuarios y buscar vulnerabilidades para obtener persistencia en activos clave de la empresa.

“Recientemente hemos sido testigos de soluciones VPN comprometidas, incluidos varios proveedores de ciberseguridad. A la luz de estos eventos, hemos estado monitoreando intentos de obtener acceso no autorizado a los VPN de los clientes de Check Point”, dijo la empresa en el aviso.

Según Check Point, la compañía pudo identificar un pequeño número de intentos de inicio de sesión para el 24 de mayo de 2024, que estaban utilizando cuentas locales de VPN antiguas con autenticación solo por contraseña, un método considerado inseguro sin la capa adicional de autenticación por certificado.

“Hemos visto 3 tales intentos, y más tarde, cuando lo analizamos más a fondo con los equipos especiales que reunimos, vimos lo que creemos que son potencialmente el mismo patrón (alrededor del mismo número). Así que, unos pocos intentos a nivel global en total, pero suficientes para entender una tendencia y especialmente, una forma bastante directa de asegurar que no tenga éxito”, dijo un portavoz de Check Point a BleepingComputer.

Para abordar estos intentos de acceso remoto no autorizados, Check Point ha emitido varias medidas preventivas para sus clientes:

• Verificar cuentas vulnerables en Quantum Security Gateway y productos de CloudGuard Network Security y en las hojas de software de Mobile Access y Remote Access VPN;

• Cambiar el método de autenticación de usuario a opciones más seguras;

• Eliminar cuentas locales no utilizadas y vulnerables de la base de datos del Servidor de Gestión de Seguridad;

• Utilizar el Hotfix de Security Gateway de Check Point para mejorar la seguridad general del producto bloqueando cuentas locales que utilizan contraseñas de Check Point como el único factor de autenticación.

Para obtener información detallada sobre cómo mejorar la seguridad de VPN y orientación sobre cómo responder a intentos de acceso no autorizados, los clientes pueden consultar el artículo de soporte de Check Point o contactar a su centro de soporte técnico.

Check Point no es la primera empresa cuyos dispositivos VPN están siendo atacados en ataques en curso.

En abril de 2024, Cisco también advirtió sobre un aumento en los ataques de fuerza bruta que afectan los servicios VPN y SSH, incluidos Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek y Ubiquiti.

Esta campaña comenzó al menos el 18 de marzo de 2024, con los ataques originándose desde nodos de salida de TOR y una variedad de otros túneles y proxies de anonimización para prevenir bloqueos.