Заплахите се насочват към VPN устройствата за отдалечен достъп на Check Point в рамките на продължаваща кампания за пробив в корпоративните мрежи, предупреди компанията в съобщение от понеделник.
Устройството Remote Access е интегрирано във всички мрежови защитни стени на Check Point. Той може да бъде конфигуриран като VPN от клиент към сайт за достъп до корпоративни мрежи чрез VPN клиенти или да бъде настроен като SSL VPN портал за уеб базиран достъп.
Check Point твърди, че нападателите се насочват към шлюзове за сигурност със стари локални акаунти, използващи несигурно удостоверяване само с парола, което трябва да се използва с удостоверяване със сертификат, за да се предотвратят пробиви.
„Наскоро станахме свидетели на компрометирани VPN решения, включително на различни доставчици на киберсигурност. В светлината на тези събития наблюдаваме опитите за получаване на неоторизиран достъп до VPN мрежи на клиенти на Check Point. До 24 май 2024 г. идентифицирахме малък брой опити за влизане в системата чрез стари VPN локални акаунти, разчитащи на не препоръчан метод за удостоверяване само с парола“, заявиха от компанията.
„Забелязахме 3 такива опита, а по-късно, когато ги анализирахме допълнително със специалните екипи, които събрахме, видяхме това, което според нас е потенциално същия модел (около същия брой). Така че – няколко опита в глобален мащаб като цяло, но достатъчни, за да се разбере тенденция и особено – доста прост начин да се гарантира, че тя е неуспешна“, заяви говорител на Check Point.
За да се защитят от тези продължаващи атаки, Check Point предупреди клиентите да проверяват за такива уязвими акаунти в продуктите Quantum Security Gateway и CloudGuard Network Security, както и в софтуерните остриета Mobile Access и Remote Access VPN.
На клиентите се препоръчва да променят метода на удостоверяване на потребителите с по-сигурни опции или да изтрият уязвимите локални акаунти от базата данни на Security Management Server.
Компанията е пуснала и гореща поправка за Security Gateway, която ще блокира всички локални акаунти от удостоверяване с парола. След инсталацията локалните акаунти със слаба автентикация само с парола ще бъдат възпрепятствани да влизат във VPN мрежата за отдалечен достъп.
Check Point е втората компания, която предупреждава, че нейните VPN устройства са обект на постоянни атаки през последните месеци.
През април Cisco също предупреди за широко разпространени атаки с насилване на идентификационни данни, насочени към VPN и SSH услуги на устройства на Cisco, Check Point, SonicWall, Fortinet и Ubiquiti.
Тази кампания е започнала около 18 март 2024 г., като атаките са започнали от изходни възли на TOR и са използвали различни други инструменти за анонимизиране и проксита, за да избегнат блокирането.
Месец по-рано Cisco предупреди за вълна от атаки с пръскане на пароли, насочени към устройства Cisco Secure Firewall, работещи с VPN услуги за отдалечен достъп (RAVPN), които вероятно са част от разузнавателна дейност на първи етап.
Изследователят в областта на сигурността Аарон Мартин свърза тази дейност с недокументирана ботнет мрежа за зловреден софтуер, която той нарече „Brutus“ и която контролира поне 20 000 IP адреса в облачни услуги и жилищни мрежи.
Миналия месец компанията също така разкри, че подкрепяната от държавата хакерска група UAT4356 (известна още като STORM-1849) е използвала бъгове от типа „нулев ден“ в защитните стени на Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), за да пробива правителствени мрежи по целия свят поне от ноември 2023 г. в рамките на кампания за кибершпионаж, проследена като ArcaneDoor.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.