해커들이 체크 포인트 VPN을 공격하여 기업 네트워크 침해

체크 포인트 소프트웨어 테크놀로지는 월요일에 원격 액세스 VPN 장치를 목표로 하는 악의적인 그룹의 관심이 증가하고 있음을 경고하는 새로운 위협 권고를 발표했습니다.

모르는 분들을 위해, 체크 포인트의 원격 액세스 VPN(가상 사설망)은 사용자가 여행 중이거나 원격으로 작업할 때 기업 데이터 센터와 본사에 있는 앱 및 데이터에 안전하고 원활하게 원격 액세스할 수 있도록 제공합니다. 모든 트래픽을 암호화하여 사용자가 보내고 받는 모든 데이터를 보호합니다.

체크 포인트 소프트웨어 테크놀로지의 보안 연구원들은 사이버 보안 솔루션을 기업 및 정부에 제공하는 선도적인 공급업체로서, 위협 행위자들이 원격 액세스 설정을 통해 조직에 접근하는 데 관심이 있다고 밝혔습니다.

이것은 그들이 중요한 기업 자산과 사용자들을 찾고, 주요 기업 자산에 대한 지속성을 확보하기 위해 취약점을 찾는 데 도움을 줄 수 있습니다.

“우리는 최근 다양한 사이버 보안 공급업체를 포함한 손상된 VPN 솔루션을 목격했습니다. 이러한 사건을 고려하여, 우리는 체크 포인트 고객의 VPN에 대한 무단 접근 시도를 모니터링하고 있습니다.”라고 회사는 권고문에서 밝혔습니다.

체크 포인트에 따르면, 회사는 2024년 5월 24일까지 비밀번호만으로 인증하는 오래된 VPN 로컬 계정을 사용하는 소수의 로그인 시도를 식별할 수 있었습니다. 이 방법은 인증서 인증의 추가 계층 없이 안전하지 않은 것으로 간주됩니다.

“우리는 그러한 시도가 3건 있었고, 이후 우리가 구성한 특별 팀과 함께 추가 분석을 진행했을 때, 우리는 잠재적으로 동일한 패턴(비슷한 수)을 보았습니다. 따라서 전 세계적으로 몇 건의 시도가 있었지만, 트렌드를 이해하기에는 충분하고 특히 실패를 보장하는 꽤 간단한 방법입니다.”라고 체크 포인트 대변인이 BleepingComputer에 말했습니다.

이러한 무단 원격 액세스 시도를 해결하기 위해 체크 포인트는 고객을 위한 여러 예방 조치를 발표했습니다:

• Quantum Security Gateway 및 CloudGuard Network Security 제품, Mobile Access 및 Remote Access VPN 소프트웨어 블레이드에서 취약한 계정을 확인하십시오;

• 사용자 인증 방법을 더 안전한 옵션으로 변경하십시오;

• 보안 관리 서버 데이터베이스에서 사용하지 않거나 취약한 로컬 계정을 삭제하십시오;

• 체크 포인트의 보안 게이트웨이 핫픽스를 활용하여 체크 포인트 비밀번호를 유일한 인증 요소로 사용하는 로컬 계정을 차단하여 제품의 전반적인 보안을 개선하십시오.

VPN 보안을 개선하고 무단 접근 시도에 대응하는 방법에 대한 자세한 정보는 고객이 체크 포인트의 지원 기사를 확인하거나 기술 지원 센터에 연락할 수 있습니다.

체크 포인트는 현재 공격을 받고 있는 VPN 장치를 가진 첫 번째 회사가 아닙니다.

2024년 4월, 시스코는 시스코 보안 방화벽 VPN, 체크 포인트 VPN, 포티넷 VPN, 소닉월 VPN, RD 웹 서비스, 미크로틱, 드레이텍 및 유비쿼티를 포함한 VPN 및 SSH 서비스에 영향을 미치는 무차별 공격의 급증에 대해 경고했습니다.

이 캠페인은 최소한 2024년 3월 18일부터 시작되었으며, 공격은 TOR 종료 노드와 다양한 익명화 터널 및 프록시에서 발생하여 차단을 방지하고 있습니다.