ハッカーがチェックポイントVPNを攻撃し企業ネットワークに侵入

チェックポイントソフトウェアテクノロジーズは、月曜日に新しい脅威アドバイザリーを発表し、悪意のあるグループがリモートアクセスVPNデバイスを企業への侵入ポイントおよび攻撃ベクターとしてターゲットにする関心が高まっていることを警告しました。

知らない方のために、チェックポイントのリモートアクセスVPN（仮想プライベートネットワーク）は、ユーザーが旅行中やリモートで作業している際に、企業のデータセンターや本社にあるアプリやデータに安全かつシームレスにリモートアクセスできるようにします。すべてのトラフィックは、ユーザーが送受信する際に暗号化されます。

サイバーセキュリティソリューションの主要な提供者であるチェックポイントソフトウェアテクノロジーズのセキュリティ研究者は、脅威アクターがリモートアクセス設定を通じて組織にアクセスすることに関心を持っていると述べています。

これにより、重要な企業資産やユーザーを見つけ、主要な企業資産に対して持続性を得るための脆弱性を探すことができます。

「最近、さまざまなサイバーセキュリティベンダーを含む侵害されたVPNソリューションを目撃しました。これらの出来事を受けて、チェックポイントの顧客のVPNへの不正アクセスを試みる動きを監視してきました」と同社はアドバイザリーで述べています。

チェックポイントによると、同社は2024年5月24日までに、パスワードのみの認証を使用した古いVPNローカルアカウントを利用した少数のログイン試行を特定することができました。この方法は、証明書認証の追加層なしでは安全ではないと見なされています。

「このような試行を3回見ました。その後、特別チームと共にさらに分析したところ、同じパターン（ほぼ同じ数）であると考えられるものを見ました。つまり、全体としては数回の試行ですが、トレンドを理解するには十分で、特に失敗を確実にする非常に簡単な方法です」とチェックポイントのスポークスパーソンはBleepingComputerに語りました。

これらの不正なリモートアクセス試行に対処するために、チェックポイントは顧客向けにいくつかの予防措置を発表しました：

• Quantum Security GatewayおよびCloudGuard Network Security製品、Mobile AccessおよびRemote Access VPNソフトウェアブレードの脆弱なアカウントを確認する。

• ユーザー認証方法をより安全なオプションに変更する。

• セキュリティ管理サーバーデータベースから未使用および脆弱なローカルアカウントを削除する。

• チェックポイントのセキュリティゲートウェイホットフィックスを利用して、チェックポイントのパスワードを唯一の認証要素として使用するローカルアカウントをブロックすることにより、製品の全体的なセキュリティを向上させる。

VPNセキュリティの向上に関する詳細情報や不正アクセス試行への対応に関するガイダンスについては、顧客はチェックポイントのサポート記事を確認するか、技術サポートセンターに連絡できます。

チェックポイントは、進行中の攻撃の標的となっている最初の企業ではありません。

2024年4月、シスコは、Cisco Secure Firewall VPN、チェックポイントVPN、Fortinet VPN、SonicWall VPN、RD Web Services、Miktrotik、Draytek、Ubiquitiを含むVPNおよびSSHサービスに影響を与えるブルートフォース攻撃の急増について警告しました。

このキャンペーンは、少なくとも2024年3月18日に始まり、攻撃はTOR出口ノードやその他の匿名化トンネルおよびプロキシから発生し、ブロックを防いでいます。