Atores de ameaças não identificados estão tentando violar instalações de VPN da Check Point, em uma campanha para obter acesso a redes corporativas. O alerta foi feito hoje pela empresa em um comunicado ao mercado. O Acesso Remoto está integrado em todos os firewalls de rede da Check Point. Ele pode ser configurado como uma VPN cliente-site para acesso a redes corporativas, por meio de clientes VPN ou como um Portal VPN SSL para acesso baseado na web. A Check Point diz que os malfeitores têm como alvo gateways de segurança com contas locais antigas, usando autenticação insegura somente por senha, que atualmente deve estar combinada com autenticação de certificado para evitar violações.
Veja isso
Check Point Software adquire Atmosec, especializada em SaaS
Check Point e WOMCY se unem para ter mais mulheres no setor
No comunicado, a Check Point diz:
Nos últimos meses, observamos um interesse crescente de grupos maliciosos em aproveitar ambientes VPN de acesso remoto como ponto de entrada e vetor de ataque às empresas.
Os invasores são motivados a obter acesso às organizações por meio de configurações de acesso remoto, para que possam tentar descobrir ativos e usuários empresariais relevantes, buscando vulnerabilidades para obter persistência nos principais ativos empresariais.
Recentemente, testemunhamos soluções VPN comprometidas, incluindo vários fornecedores de segurança cibernética. À luz destes acontecimentos, temos monitorizado tentativas de obter acesso não autorizado a VPNs de clientes da Check Point.Em 24 de maio de 2024, identificamos um pequeno número de tentativas de login usando contas locais VPN antigas que dependiam de um método de autenticação somente por senha não recomendado.
Reunimos equipes especiais de profissionais de Resposta a Incidentes, Pesquisa, Serviços Técnicos e Produtos que exploraram minuciosamente essas e quaisquer outras possíveis tentativas relacionadas. Com base nas notificações destes clientes e na análise da Check Point, as equipas encontraram em 24 horas alguns potenciais clientes que foram sujeitos a tentativas semelhantes.
A autenticação somente por senha é considerada um método desfavorável para garantir os mais altos níveis de segurança e recomendamos não confiar nisso ao fazer login na infraestrutura de rede.
Nos últimos meses, a Check Point é a segunda empresa alertando que seus dispositivos VPN estão sendo alvo de ataques contínuos: em abril, a Cisco também fez um alerta sobre ataques de força brutadirecionados a serviços VPN e SSH em dispositivos Cisco, Check Point, SonicWall, Fortinet e Ubiquiti. Essa campanha começou em 18 de março de 2024, com os ataques originados em nós de saída TOR e usando ferramentas de anonimato e proxies para evitar bloqueios.