本文来自微信公众号“GoUpSec”。
近日,Check Point、思科等多家知名VPN品牌产品接连遭遇黑客攻击。
Check Point远程访问VPN面临攻击
据BleepingComputer报道,Check Point公司本周一发布公告称,黑客正在持续攻击Check Point远程访问VPN设备,试图入侵企业网络。
Check Point的远程访问功能集成在所有Check Point网络防火墙中,可以配置为客户端到站点的VPN,以便通过VPN客户端访问公司网络,或设置为基于网页访问的SSLVPN门户。
Check Point表示,攻击者正在利用旧的本地账户,使用不安全的仅密码认证方式攻击安全网关,这种方式应该与证书认证结合使用,以防止漏洞被利用。
Check Point在公告中指出:“我们最近目睹了多家网络安全供应商的VPN解决方案被入侵。因此,我们一直在密切监控试图获取Check Point客户VPN的未授权访问尝试。到2024年5月24日,我们已经识别出少量使用旧VPN本地账户的登录尝试,这些账户依赖于不推荐的密码认证方式。”
防御措施与建议
为了抵御这些持续攻击,Check Point警告客户检查Quantum Security Gateway和Cloud Guard Network Security产品以及Mobile Access和Remote Access VPN软件刀片上是否存在此类易受攻击的账户。
Check Point还建议客户选择更安全的用户认证方法,或从安全管理服务器数据库中删除易受攻击的本地账户。
此外,Check Point还发布了一个安全网关热修复程序(https://support.checkpoint.com/results/sk/sk182336),可阻止所有本地账户使用密码进行登录认证。安装后,仅使用密码认证的本地账户将被阻止登录远程访问VPN。
思科VPN设备同样遭遇攻击
CheckPoint是最近几个月第二家警告其VPN设备遭遇攻击的公司。
今年四月,思科也警告称,其VPN和SSH服务遭遇广泛的凭证暴力破解攻击,一同遭受黑客的攻击目标还包括Check Point、SonicWall、Fortinet和Ubiquiti等多个厂商的设备。
针对思科VPN的攻击始于2024年3月18日,攻击来自TOR出口节点,并使用各种其他匿名工具和代理以规避阻拦。
一个月前,思科警告称,其运行远程访问VPN(RAVPN)服务的CiscoSecureFirewall设备遭遇了大规模的密码喷洒攻击,可能属于第一阶段侦察活动的一部分。
安全研究员Aaron Martin将该攻击归因于一个未记录的恶意软件僵尸网络“Brutus”,后者控制了至少2万个IP地址,分布在云服务和住宅网络中。
上个月,思科还披露称,国家支持的黑客组织UAT4356(又名STORM-1849)自2023年11月以来一直利用Cisco Adaptive Security Appliance(ASA)和Firepower Threat Defense(FTD)防火墙中的零日漏洞,入侵全球政府网络,该网络间谍活动被追踪为ArcaneDoor。