Gli hacker attaccano i VPN di Check Point per violare le reti aziendali

Check Point Software Technologies ha rilasciato un nuovo avviso di minaccia lunedì che avverte dell’aumento dell’interesse dei gruppi malevoli nel mirare ai dispositivi VPN di Accesso Remoto come punto d’ingresso e vettore d’attacco nelle aziende.

Per chi non lo sapesse, il VPN di Accesso Remoto di Check Point (Virtual Private Network) offre agli utenti un accesso remoto sicuro e senza interruzioni ad app e dati che risiedono nel data center aziendale e nella sede centrale quando si viaggia o si lavora da remoto. Cripta tutto il traffico che gli utenti inviano e ricevono.

I ricercatori di sicurezza di Check Point Software Technologies, un fornitore leader di soluzioni di cyber sicurezza per aziende e governi a livello globale, hanno dichiarato che gli attori della minaccia sono interessati a ottenere accesso alle organizzazioni attraverso configurazioni di accesso remoto.

Questo può aiutarli a trovare beni aziendali significativi e utenti e cercare vulnerabilità per ottenere persistenza su beni aziendali chiave.

“Abbiamo recentemente assistito a soluzioni VPN compromesse, inclusi vari fornitori di cyber sicurezza. Alla luce di questi eventi, abbiamo monitorato i tentativi di ottenere accesso non autorizzato ai VPN dei clienti di Check Point,” ha dichiarato l’azienda nell’avviso.

Secondo Check Point, l’azienda è stata in grado di identificare un numero ridotto di tentativi di accesso entro il 24 maggio 2024, che utilizzavano vecchi account locali VPN con autenticazione solo tramite password, un metodo considerato insicuro senza il livello extra di autenticazione tramite certificato.

“Abbiamo visto 3 di questi tentativi, e successivamente, quando abbiamo ulteriormente analizzato la situazione con i team speciali che abbiamo assemblato, abbiamo visto quello che crediamo sia potenzialmente lo stesso schema (circa lo stesso numero). Quindi - pochi tentativi a livello globale, ma sufficienti per comprendere una tendenza e soprattutto - un modo piuttosto semplice per garantire che non abbiano successo,” ha dichiarato un portavoce di Check Point a BleepingComputer.

Per affrontare questi tentativi di accesso remoto non autorizzato, Check Point ha emesso diverse misure preventive per i suoi clienti:

• Controllare gli account vulnerabili su Quantum Security Gateway e CloudGuard Network Security products e su Mobile Access e Remote Access VPN software blades;

• Cambiare il metodo di autenticazione utente in opzioni più sicure;

• Eliminare gli account locali non utilizzati e vulnerabili dal database del Security Management Server;

• Utilizzare il Hotfix del Security Gateway di Check Point per migliorare la sicurezza complessiva del prodotto bloccando gli account locali che utilizzano le password di Check Point come unico fattore di autenticazione.

Per informazioni dettagliate su come migliorare la sicurezza VPN e indicazioni su come rispondere ai tentativi di accesso non autorizzato, i clienti possono consultare l’articolo di supporto di Check Point o contattare il loro centro di supporto tecnico.

Check Point non è la prima azienda i cui dispositivi VPN sono stati presi di mira in attacchi in corso.

Ad aprile 2024, Cisco ha anche avvertito di un aumento degli attacchi di forza bruta che colpiscono i servizi VPN e SSH, inclusi Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek e Ubiquiti.

Questa campagna è iniziata almeno il 18 marzo 2024, con attacchi provenienti da nodi di uscita TOR e una serie di altri tunnel e proxy di anonimizzazione per prevenire i blocchi.