两大知名VPN产品接连遭遇黑客攻击

近日，Check Point、思科等多家知名VPN品牌产品接连遭遇黑客攻击。

据BleepingComputer报道，Check Point公司本周一发布公告称，黑客正在持续攻击Check Point远程访问VPN设备，试图入侵企业网络。

Check Point的远程访问功能集成在所有Check Point网络防火墙中，可以配置为客户端到站点的VPN，以便通过VPN客户端访问公司网络，或设置为基于网页访问的SSLVPN门户。

Check Point表示，攻击者正在利用旧的本地账户，使用不安全的仅密码认证方式攻击安全网关，这种方式应该与证书认证结合使用，以防止漏洞被利用。

Check Point在公告中指出：“我们最近目睹了多家网络安全供应商的VPN解决方案被入侵。因此，我们一直在密切监控试图获取Check Point客户VPN的未授权访问尝试。到2024年5月24日，我们已经识别出少量使用旧VPN本地账户的登录尝试，这些账户依赖于不推荐的密码认证方式。”

为了抵御这些持续攻击，Check Point警告客户检查Quantum Security Gateway和Cloud Guard Network Security产品以及Mobile Access和Remote Access VPN软件刀片上是否存在此类易受攻击的账户。

Check Point还建议客户选择更安全的用户认证方法，或从安全管理服务器数据库中删除易受攻击的本地账户。

此外，Check Point还发布了一个安全网关热修复程序（https://support.checkpoint.com/results/sk/sk182336），可阻止所有本地账户使用密码进行登录认证。安装后，仅使用密码认证的本地账户将被阻止登录远程访问VPN。

CheckPoint是最近几个月第二家警告其VPN设备遭遇攻击的公司。

今年四月，思科也警告称，其VPN和SSH服务遭遇广泛的凭证暴力破解攻击，一同遭受黑客的攻击目标还包括Check Point、SonicWall、Fortinet和Ubiquiti等多个厂商的设备。

针对思科VPN的攻击始于2024年3月18日，攻击来自TOR出口节点，并使用各种其他匿名工具和代理以规避阻拦。

一个月前，思科警告称，其运行远程访问VPN（RAVPN）服务的CiscoSecureFirewall设备遭遇了大规模的密码喷洒攻击，可能属于第一阶段侦察活动的一部分。

安全研究员Aaron Martin将该攻击归因于一个未记录的恶意软件僵尸网络“Brutus”，后者控制了至少2万个IP地址，分布在云服务和住宅网络中。

上个月，思科还披露称，国家支持的黑客组织UAT4356（又名STORM-1849）自2023年11月以来一直利用Cisco Adaptive Security Appliance（ASA）和Firepower Threat Defense（FTD）防火墙中的零日漏洞，入侵全球政府网络，该网络间谍活动被追踪为ArcaneDoor。

参考链接：

https://www.bleepingcomputer.com/news/security/hackers-target-check-point-vpns-to-breach-enterprise-networks/