Cibercriminosos têm como alvo os dispositivos VPN de acesso remoto da Check Point em uma campanha contínua para violar redes corporativa. O alerta vem da própria empresa, em um comunicado feito ontem.
VPNs da Check Point usados para violar redes corporativas
O Acesso Remoto está integrado em todos os firewalls de rede da Check Point. Ele pode ser configurado como uma VPN cliente-site para acesso a redes corporativas por meio de clientes VPN ou como um Portal VPN SSL para acesso baseado na web. De acordo com a Check Point, os invasores têm como alvo gateways de segurança com contas locais antigas usando autenticação insegura somente por senha, que deve ser usada com autenticação de certificado para evitar violações.
Testemunhamos recentemente soluções VPN comprometidas, incluindo vários fornecedores de segurança cibernética. À luz destes eventos, temos monitorizado tentativas de obter acesso não autorizado a VPNs de clientes da Check Point. Até 24 de maio de 2024, identificámos um pequeno número de tentativas de login usando contas locais VPN antigas que dependem de um método de autenticação somente por senha não recomendado.
Um porta voz da empresa disse ao Bleeping Computer:
Vimos três dessas tentativas e, mais tarde, quando analisamos mais detalhadamente com as equipes especiais que montamos, vimos o que acreditamos ser potencialmente o mesmo padrão (em torno do mesmo número). o suficiente para entender uma tendência e, especialmente, uma maneira bastante direta de garantir que ela não terá sucesso.
Notícias Relacionadas
Desempenho otimizado
Cloudflare utiliza processadores AMD EPYC Genoa-X para otimizar seus servidores de próxima geração
A Cloudflare adotou os processadores AMD EPYC 9684X Genoa-X para seus servidores Gen 12, melhorando desempenho, eficiência energética e segurança, além de oferecer suporte robusto para IA/ML, com uma eficiência energética 63% superior em relação à geração anterior.
Licença restritiva
Winamp libera código com restrições incompatíveis com GitHub
O Winamp liberou seu código-fonte no GitHub, mas com uma licença que proíbe a distribuição de versões modificadas e forks, gerando críticas da comunidade. A licença também entra em conflito com as regras do GitHub, causando controvérsia.
O alerta
Para se defender contra esses ataques contínuos, a Check Point alertou os clientes para verificarem essas contas vulneráveis ??nos produtos Quantum Security Gateway e CloudGuard Network Security e em blades de software VPN de acesso móvel e acesso remoto. Os clientes da empresa são aconselhados a alterar o método de autenticação do usuário para opções mais seguras ou excluir contas locais vulneráveis ??do banco de dados do Security Management Server.
A Check Point também lançou um hotfix do Security Gateway que bloqueará a autenticação de todas as contas locais com uma senha. Após a instalação, as contas locais com autenticação fraca somente por senha serão impedidas de fazer login na VPN de acesso remoto.
Imagem: Reprodução | Bleeping Computer
Dispositivos Cisco VPN também são fortemente direcionados
A Check Point é a segunda empresa a alertar que seus dispositivos VPN estão sendo alvo de ataques contínuos nos últimos meses. Em abril, a Cisco também alertou sobre ataques generalizados de força bruta de credenciais direcionados a serviços VPN e SSH em dispositivos Cisco, Check Point, SonicWall, Fortinet e Ubiquiti. Essa campanha começou por volta de 18 de março de 2024, com os ataques originados de nós de saída TOR e usando várias outras ferramentas de anonimato e proxies para evitar bloqueios.
Um mês antes, a Cisco alertou sobre uma onda de ataques de pulverização de senhas direcionados a dispositivos Cisco Secure Firewall que executam serviços VPN de acesso remoto (RAVPN), provavelmente parte da atividade de reconhecimento de primeiro estágio.
O pesquisador de segurança Aaron Martin vinculou esta atividade a um botnet de malware não documentado que ele apelidou de “Brutus”, que controlava pelo menos 20.000 endereços IP em serviços de nuvem e redes residenciais.
No mês passado, a empresa também revelou que o grupo de hackers apoiado pelo estado UAT4356 (também conhecido como STORM-1849) tem usado bugs de dia zero nos firewalls Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) para violar redes governamentais em todo o mundo desde então.
