Des hackers attaquent les VPN Check Point pour pénétrer les réseaux d'entreprise

Check Point Software Technologies a publié un nouvel avis de menace lundi qui avertit de l’intérêt croissant des groupes malveillants pour cibler les dispositifs VPN d’accès à distance comme point d’entrée et vecteur d’attaque dans les entreprises.

Pour ceux qui ne le savent pas, le VPN d’accès à distance de Check Point (Virtual Private Network) offre aux utilisateurs un accès à distance sécurisé et sans interruption aux applications et aux données qui résident dans le centre de données et le siège de l’entreprise lors de déplacements ou de travail à distance. Il chiffre tout le trafic que les utilisateurs envoient et reçoivent.

Les chercheurs en sécurité de Check Point Software Technologies, un fournisseur leader de solutions de cybersécurité pour les entreprises et les gouvernements à l’échelle mondiale, ont déclaré que les acteurs de la menace s’intéressent à l’accès aux organisations via des configurations d’accès à distance.

Cela peut les aider à trouver des actifs d’entreprise significatifs et des utilisateurs et à rechercher des vulnérabilités pour obtenir une persistance sur des actifs clés de l’entreprise.

« Nous avons récemment été témoins de solutions VPN compromises, y compris divers fournisseurs de cybersécurité. À la lumière de ces événements, nous avons surveillé les tentatives d’accès non autorisé aux VPN des clients de Check Point », a déclaré l’entreprise dans l’avis.

Selon Check Point, la société a pu identifier un petit nombre de tentatives de connexion d’ici le 24 mai 2024, qui utilisaient de vieux comptes locaux VPN avec authentification par mot de passe uniquement, une méthode considérée comme peu sécurisée sans la couche supplémentaire d’authentification par certificat.

« Nous avons vu 3 telles tentatives, et plus tard, lorsque nous avons analysé cela avec les équipes spéciales que nous avons constituées, nous avons vu ce que nous croyons être potentiellement le même schéma (environ le même nombre). Donc – quelques tentatives globalement au total mais suffisamment pour comprendre une tendance et surtout - une manière assez simple de s’assurer qu’elle échoue », a déclaré un porte-parole de Check Point à BleepingComputer.

Pour faire face à ces tentatives d’accès à distance non autorisées, Check Point a émis plusieurs mesures préventives pour ses clients :

• Vérifiez les comptes vulnérables sur les produits Quantum Security Gateway et CloudGuard Network Security et sur les logiciels Mobile Access et Remote Access VPN ;

• Changez la méthode d’authentification des utilisateurs pour des options plus sécurisées ;

• Supprimez les comptes locaux inutilisés et vulnérables de la base de données du serveur de gestion de la sécurité ;

• Utilisez le correctif de sécurité de Check Point pour améliorer la sécurité globale du produit en bloquant les comptes locaux qui utilisent des mots de passe Check Point comme seul facteur d’authentification.

Pour des informations détaillées sur l’amélioration de la sécurité VPN et des conseils sur la réponse aux tentatives d’accès non autorisées, les clients peuvent consulter l’article de support de Check Point ou contacter leur centre de support technique.

Check Point n’est pas la première entreprise dont les dispositifs VPN sont ciblés dans des attaques en cours.

En avril 2024, Cisco a également averti d’une augmentation des attaques par force brute affectant les services VPN et SSH, y compris Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek et Ubiquiti.

Cette campagne a commencé au moins le 18 mars 2024, les attaques provenant de nœuds de sortie TOR et d’une gamme d’autres tunnels et proxies anonymisants pour éviter les blocages.