导语:该活动始于 2024 年 3 月 18 日左右,攻击源自 TOR 出口节点。
Check Point 在近期发布的一份公告中称,威胁者正针对 Check Point 远程访问 VPN 设备发起攻击,以入侵企业网络。
远程访问已集成到所有 Check Point 网络防火墙中,它可以配置为客户端到站点 VPN,以便通过 VPN 客户端访问公司网络,也可以设置为 SSL VPN 门户,以进行基于 Web 的访问。
Check Point 表示,攻击者正针对使用不安全的仅密码身份验证的旧本地帐户的安全网关发起攻击,这种身份验证应与证书身份验证一起使用,以防止入侵。
该公司表示最近看到包括各种网络安全供应商在内的 VPN 解决方案遭到入侵,鉴于这些事件,一直在监控未经授权访问 Check Point 客户的 VPN 的尝试。截至 2024 年 5 月 24 日,发现了少量使用旧 VPN 本地帐户的登录尝试,这些尝试依赖于不推荐的仅密码身份验证方法。
为了防御这些正在进行的攻击,Check Point 提醒客户检查 Quantum Security Gateway 和 CloudGuard Network Security 产品以及移动访问和远程访问 VPN 软件刀片上是否存在此类易受攻击的帐户。
并建议客户将用户身份验证方法更改为更安全的选项(使用此支持文档中的说明)或从安全管理服务器数据库中删除易受攻击的本地帐户。
该公司还发布了安全网关修补程序,该修补程序将阻止所有本地帐户使用密码进行身份验证。安装后,仅使用弱密码身份验证的本地帐户将被阻止登录远程访问 VPN。
安装修补程序后易受攻击的本地帐户被阻止(Check Point)
思科 VPN 设备也成为攻击目标
Check Point 是第二家警告其 VPN 设备在最近几个月的持续攻击中成为目标的公司。
今年 4 月,针对思科、Check Point、SonicWall、Fortinet 和 Ubiquiti 设备上的 VPN 和 SSH 服务的凭证暴力破解攻击十分猖獗。
该活动始于 2024 年 3 月 18 日左右,攻击源自 TOR 出口节点,并使用各种其他匿名化工具和代理来逃避阻止。
一个月前,思科警告称,针对运行远程访问 VPN(RAVPN)服务的思科安全防火墙设备可能会出现一波密码喷洒攻击,这可能是第一阶段侦察活动的一部分。
安全研究员亚伦·马丁将此活动与一个未记录的恶意软件僵尸网络联系起来,他将其称为“Brutus”,该网络控制着云服务和住宅网络中至少 20000 个 IP 地址。
上个月,该公司还透露,自 2023 年 11 月以来,受国家支持的黑客组织 UAT4356(又名 STORM-1849)一直在利用思科自适应安全设备 (ASA) 和 Firepower 威胁防御 (FTD) 防火墙中的零日漏洞入侵全球政府网络,该活动被追踪为 ArcaneDoor。
文章翻译自:https://www.bleepingcomputer.com/news/security/hackers-target-check-point-vpns-to-breach-enterprise-networks/如若转载,请注明原文地址