黑客利用 Check Point VPN 入侵企业网络

Check Point在周一发布的安全更新报告中警告称，黑客组织正瞄准 Check Point 远程访问 VPN 设备，试图入侵企业网络。

远程访问已集成到所有 Check Point 网络防火墙中。它可配置为客户端到站点 VPN，以便通过 VPN 客户端访问公司网络，或设置为 SSL VPN 门户，以便进行基于 Web 的访问。

Check Point 表示，攻击者利用不安全的纯密码身份验证攻击具有旧本地帐户的安全网关，而这种身份验证应与证书身份验证一起使用以防止黑客入侵。

CheckPoint在安全更新报告（https://blog.checkpoint.com/security/enhance-your-vpn-security-posture）中写道：“我们最近目睹了包括各种网络安全供应商在内的 VPN 解决方案遭到入侵。鉴于这些事件，我们一直在监控未经授权访问 Check Point 客户的 VPN 的尝试。截至 2024 年 5 月 24 日，我们发现了少量使用旧 VPN 本地帐户的登录尝试，这些尝试依赖于不推荐的仅密码身份验证方法。”

Check Point 发言人称：“我们已经看到了 3 次这样的尝试，后来当我们与组建的特别小组进一步分析时，我们发现了我们认为可能相同的模式（大约相同的数字）。所以 - 总的来说，全球范围内有几次尝试，但足以了解一种趋势，尤其是 - 这是一种非常直接的确保它不会成功的方法。”

为了防御这些正在进行的攻击，Check Point 警告客户检查 Quantum Security Gateway 和 CloudGuard Network Security 产品以及移动访问和远程访问 VPN 软件上是否存在此类易受攻击的帐户。

建议客户将用户身份验证方法更改为更安全的选项（使用此支持文档中的说明）或从安全管理服务器数据库中删除易受攻击的本地帐户。

该公司还发布了安全网关修补程序，该修补程序将阻止所有本地帐户使用密码进行身份验证。安装后，仅使用弱密码身份验证的本地帐户将被阻止登录远程访问 VPN。

安装修补程序后易受攻击的本地帐户被阻止（Check Point）

思科 VPN 设备也成为主要攻击目标

Check Point 是第二家警告其 VPN 设备在近几个月内遭受持续攻击的公司。

今年 4 月，思科警告称，针对思科、Check Point、SonicWall、Fortinet 和 Ubiquiti 设备上的 VPN 和 SSH 服务的凭证暴力破解攻击正在广泛流行。

该活动于 2024 年 3 月 18 日左右开始，攻击源自 TOR 出口节点，并使用各种其他匿名工具和代理来逃避阻止。

一个月前，思科警告称，针对运行远程访问 VPN（RAVPN）服务的思科安全防火墙设备可能会出现一波密码喷洒攻击，这可能是第一阶段侦察活动的一部分。

安全研究员亚伦·马丁 (Aaron Martin)将此活动与一个未记录的恶意软件僵尸网络联系起来，他将其称为“Brutus”，该网络控制着云服务和住宅网络中至少 20,000 个 IP 地址。

上个月，该公司还透露，自 2023 年 11 月以来，黑客组织 UAT4356（又名 STORM-1849）一直在利用思科自适应安全设备 (ASA) 和 Firepower 威胁防御 (FTD) 防火墙中的零日漏洞入侵全球政府网络，该活动被追踪为 ArcaneDoor（https://www.bleepingcomputer.com/news/security/arcanedoor-hackers-exploit-cisco-zero-days-to-breach-govt-networks/）。

新闻参考链接：https://www.bleepingcomputer.com/news/security/hackers-target-check-point-vpns-to-breach-enterprise-networks/