Atores de ameaças estão mirando dispositivos Check Point Remote Access VPN em uma campanha contínua para invadir redes corporativas, alertou a empresa em um comunicado na segunda-feira(27).
O Remote Access é integrado a todos os firewalls de rede da Check Point.
Ele pode ser configurado como uma VPN cliente-para-site para acesso às redes corporativas por meio de clientes VPN ou configurado como um Portal SSL VPN para acesso baseado na web.
A Check Point informa que os atacantes estão mirando gateways de segurança com contas locais antigas usando autenticação apenas por senha, insegura, que deveria ser usada com autenticação por certificado para prevenir invasões.
Recentemente, testemunhamos soluções VPN comprometidas, incluindo vários fornecedores de cibersegurança.
Diante desses eventos, monitoramos tentativas de acesso não autorizado às VPNs dos clientes da Check Point.
"Até 24 de maio de 2024, identificamos um pequeno número de tentativas de login usando contas locais antigas de VPN, dependendo de um método de autenticação apenas por senha, não recomendado," disse a empresa.
"Vimos 3 dessas tentativas, e mais tarde, quando analisamos com as equipes especiais que montamos, vimos o que acreditamos ser potencialmente o mesmo padrão (em torno do mesmo número). Então, algumas tentativas globalmente, mas o suficiente para entender uma tendência e, especialmente, uma maneira bastante direta de garantir que seja malsucedida," disse um porta-voz da Check Point.
Para se defender contra esses ataques contínuos, a Check Point alertou os clientes para verificar tais contas vulneráveis no Quantum Security Gateway e nos produtos CloudGuard Network Security e nas lâminas de software Mobile Access e Remote Access VPN.
Os clientes são aconselhados a mudar o método de autenticação do usuário para opções mais seguras (usando as instruções neste documento de suporte) ou deletar contas locais vulneráveis do banco de dados do Security Management Server.
A empresa também lançou um hotfix de Security Gateway que bloqueará todas as contas locais de se autenticarem com senha.
Após a instalação, contas locais com autenticação apenas por senha fraca serão impedidas de fazer login no Remote Access VPN.
Os clientes podem encontrar mais informações sobre como melhorar a segurança de suas VPNs neste artigo de suporte, que também compartilha orientações sobre como responder a tentativas de acesso não autorizado.
A Check Point é a segunda empresa a alertar que seus dispositivos VPN estão sendo alvo de ataques contínuos nos últimos meses.
Em abril, a Cisco também alertou sobre ataques generalizados de força bruta de credenciais mirando serviços VPN e SSH em dispositivos Cisco, Check Point, SonicWall, Fortinet e Ubiquiti.
Essa campanha começou por volta de 18 de março de 2024, com os ataques originados de nós de saída TOR e usando várias outras ferramentas de anonimização e proxies para evitar bloqueios.
Um mês antes, a Cisco alertou sobre uma onda de ataques de borrifamento de senhas mirando dispositivos Cisco Secure Firewall rodando serviços Remote Access VPN (RAVPN), provavelmente parte de uma atividade de reconhecimento inicial.
O pesquisador de segurança Aaron Martin vinculou essa atividade a um botnet de malware não documentado que ele chamou de "Brutus", que controlava pelo menos 20.000 endereços IP em serviços de nuvem e redes residenciais.
No mês passado, a empresa também revelou que o grupo de hackers patrocinado pelo estado UAT4356 (também conhecido como STORM-1849) tem usado bugs de zero-day em firewalls Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) para invadir redes governamentais em todo o mundo desde pelo menos novembro de 2023 em uma campanha de ciberespionagem rastreada como ArcaneDoor.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...