Společnost Check Point vydala varování ohledně probíhající kampaně, která cílí na zařízení Check Point Remote Access VPN, s cílem narušit podnikové sítě. Tato VPN technologie je integrována do všech firewallů Check Point a může být konfigurována buď jako klient-to-site VPN pro přístup prostřednictvím VPN klientů, nebo jako SSL VPN portál pro webový přístup.

Check Point upozorňuje, že útočníci se zaměřují na bezpečnostní brány využívající staré lokální účty s nezabezpečeným ověřováním pouze heslem. Společnost doporučuje využití ověřování pomocí certifikátů, aby se předešlo narušení.

V nedávném prohlášení Check Point uvedl, že monitorovali několik pokusů o neoprávněný přístup do VPN zákazníků, kde útočníci využívali staré lokální účty. Do 24. května 2024 bylo zaznamenáno několik pokusů o přihlášení pomocí těchto účtů, přičemž všechny tyto pokusy byly identifikovány a analyzovány speciálními týmy společnosti. Mluvčí Check Pointu pro BleepingComputer uvedl, že byli svědky přibližně stejného počtu pokusů, což jim umožnilo identifikovat trend a navrhnout účinná opatření proti těmto útokům.

Zdroj: Shutterstock

Aby se Check Point ochránil před těmito pokračujícími útoky, vyzval zákazníky, aby zkontrolovali a zabezpečili své účty na produktech Quantum Security Gateway a CloudGuard Network Security. Doporučuje se změnit metody ověřování na bezpečnější alternativy nebo odstranit zranitelné lokální účty.

Společnost rovněž vydala hotfix pro Security Gateway, který zablokuje všechny lokální účty s ověřováním pouze heslem. Po instalaci tohoto hotfixu budou tyto účty zablokovány v přístupu do VPN. Další podrobnosti a pokyny k zabezpečení VPN sítí zákazníci naleznou v článku podpory, kde jsou uvedeny i kroky k reakci na pokusy o neoprávněný přístup.

Check Point není jedinou společností, která čelí těmto útokům. V dubnu společnost Cisco varovala před útoky zaměřenými na jejich služby VPN a SSH na zařízeních Cisco, Check Point, SonicWall, Fortinet a Ubiquiti. Tyto útoky, zahájené v březnu 2024, využívaly výstupní uzly TOR a různé anonymizační nástroje k obcházení bezpečnostních bloků.

Bezpečnostní výzkumník Aaron Martin spojil tyto útoky s malwarovým botnetem nazvaným „Brutus“, který kontroloval nejméně 20 000 IP adres. Společnost Cisco rovněž odhalila, že státem podporovaná hackerská skupina UAT4356 (také známá jako STORM-1849) využívá zero-day chyby ve firewallech Cisco ASA a FTD k narušení vládních sítí po celém světě, přičemž tyto útoky probíhají nejméně od listopadu 2023.

Výše uvedené incidenty ukazují na rostoucí potřebu důkladného zabezpečení VPN a dalších síťových zařízení, aby se minimalizovalo riziko narušení podnikových a vládních sítí.