Хакеры атакуют VPN Check Point для проникновения в корпоративные сети

Check Point Software Technologies выпустила новое предупреждение о угрозах в понедельник, в котором говорится о возросшем интересе злонамеренных групп к целенаправленным атакам на устройства удаленного доступа VPN как точку входа и вектор атаки на предприятия.

Для тех, кто не в курсе, удаленный доступ VPN (виртуальная частная сеть) от Check Point предлагает пользователям безопасный, бесшовный удаленный доступ к приложениям и данным, которые находятся в корпоративном дата-центре и главном офисе во время поездок или удаленной работы. Он шифрует весь трафик, который пользователи отправляют и получают.

Исследователи безопасности в Check Point Software Technologies, ведущем поставщике решений кибербезопасности для корпоративных предприятий и правительств по всему миру, сообщили, что злоумышленники заинтересованы в получении доступа к организациям через настройки удаленного доступа.

Это может помочь им найти значительные активы и пользователей предприятия и искать уязвимости для получения постоянного доступа к ключевым активам предприятия.

“Мы недавно стали свидетелями компрометации решений VPN, включая различные поставщики кибербезопасности. В свете этих событий мы отслеживали попытки несанкционированного доступа к VPN клиентам Check Point,” - говорится в сообщении компании.

Согласно Check Point, компания смогла выявить небольшое количество попыток входа к 24 мая 2024 года, которые использовали старые локальные учетные записи VPN с аутентификацией только по паролю, метод, который считается небезопасным без дополнительного уровня аутентификации сертификата.

“Мы видели 3 такие попытки, и позже, когда мы дополнительно проанализировали это с помощью специальных команд, которые мы собрали, мы увидели, что, по нашему мнению, это потенциально один и тот же шаблон (примерно одно и то же количество). Так что - несколько попыток в глобальном масштабе, но достаточно, чтобы понять тенденцию и особенно - довольно простой способ гарантировать, что это неудачно,” - сказал представитель Check Point изданию BleepingComputer.

Чтобы противостоять этим несанкционированным попыткам удаленного доступа, Check Point выпустила несколько профилактических мер для своих клиентов:

• Проверьте уязвимые учетные записи на продуктах Quantum Security Gateway и CloudGuard Network Security, а также на программных модулях Mobile Access и Remote Access VPN;

• Измените метод аутентификации пользователей на более безопасные варианты;

• Удалите неиспользуемые и уязвимые локальные учетные записи из базы данных сервера управления безопасностью;

• Используйте Hotfix Security Gateway от Check Point для улучшения общей безопасности продукта, блокируя локальные учетные записи, которые используют пароли Check Point как единственный фактор аутентификации.

Для получения подробной информации о повышении безопасности VPN и рекомендаций по реагированию на попытки несанкционированного доступа клиенты могут ознакомиться со статьей поддержки Check Point или обратиться в их центр технической поддержки.

Check Point не первая компания, чьи устройства VPN становятся целью продолжающихся атак.

В апреле 2024 года Cisco также предупредила о росте атак методом грубой силы, затрагивающих VPN и SSH-сервисы, включая Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek и Ubiquiti.

Эта кампания началась как минимум 18 марта 2024 года, при этом атаки исходили из узлов выхода TOR и ряда других анонимизирующих туннелей и прокси для предотвращения блокировок.