Hackers Atacam VPNs da Check Point Para Invadir Redes Empresariais

A Check Point Software Technologies lançou um novo aviso de ameaça na segunda-feira que alerta sobre o crescente interesse de grupos maliciosos em direcionar dispositivos de VPN de Acesso Remoto como um ponto de entrada e vetor de ataque em empresas.

Para quem não sabe, a VPN de Acesso Remoto (Rede Privada Virtual) da Check Point oferece aos usuários acesso remoto seguro e contínuo a aplicativos e dados que residem no centro de dados corporativo e na sede ao viajar ou trabalhar remotamente. Ela criptografa todo o tráfego que os usuários enviam e recebem.

Pesquisadores de segurança da Check Point Software Technologies, um dos principais fornecedores de soluções de cibersegurança para empresas e governos globalmente, disseram que os atores de ameaça estão interessados em obter acesso a organizações por meio de configurações de acesso remoto.

Isso pode ajudá-los a encontrar ativos empresariais significativos e usuários e procurar vulnerabilidades para obter persistência em ativos empresariais chave.

“Recentemente, testemunhamos soluções de VPN comprometidas, incluindo vários fornecedores de cibersegurança. À luz desses eventos, temos monitorado tentativas de obter acesso não autorizado às VPNs dos clientes da Check Point”, disse a empresa no aviso.

De acordo com a Check Point, a empresa conseguiu identificar um pequeno número de tentativas de login até 24 de maio de 2024, que estavam usando contas locais antigas de VPN com autenticação apenas por senha, um método considerado inseguro sem a camada extra de autenticação por certificado.

“Vimos 3 dessas tentativas, e depois, quando analisamos mais a fundo com as equipes especiais que montamos, vimos o que acreditamos ser potencialmente o mesmo padrão (cerca do mesmo número). Portanto – algumas tentativas globalmente, mas suficientes para entender uma tendência e especialmente - uma maneira bastante direta de garantir que não seja bem-sucedida”, disse um porta-voz da Check Point ao BleepingComputer.

Para abordar essas tentativas de acesso remoto não autorizado, a Check Point emitiu várias medidas preventivas para seus clientes:

• Verificar contas vulneráveis nos produtos Quantum Security Gateway e CloudGuard Network Security e nas lâminas de software Mobile Access e Remote Access VPN;

• Mudar o método de autenticação do usuário para opções mais seguras;

• Excluir contas locais não utilizadas e vulneráveis do banco de dados do Security Management Server;

• Utilizar o Hotfix do Security Gateway da Check Point para melhorar a segurança geral do produto bloqueando contas locais que usam senhas da Check Point como o único fator de autenticação.

Para informações detalhadas sobre como melhorar a segurança da VPN e orientações sobre como responder a tentativas de acesso não autorizado, os clientes podem conferir o artigo de suporte da Check Point ou entrar em contato com seu centro de suporte técnico.

A Check Point não é a primeira empresa cujos dispositivos de VPN estão sendo alvo de ataques em andamento.

Em abril de 2024, a Cisco também alertou sobre um aumento nos ataques de força bruta afetando serviços de VPN e SSH, incluindo Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek e Ubiquiti.

Essa campanha começou pelo menos em 18 de março de 2024, com os ataques originando-se de nós de saída do TOR e uma variedade de outros túneis e proxies de anonimização para evitar bloqueios.