信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

近日，Check Point、思科等多家知名VPN品牌產(chǎn)品接連遭遇黑客攻擊。

Check Point遠(yuǎn)程訪問VPN面臨攻擊

據(jù)BleepingComputer報道，Check Point公司本周一發(fā)布公告稱，黑客正在持續(xù)攻擊Check Point遠(yuǎn)程訪問VPN設(shè)備，試圖入侵企業(yè)網(wǎng)絡(luò)。

Check Point的遠(yuǎn)程訪問功能集成在所有Check Point網(wǎng)絡(luò)防火墻中，可以配置為客戶端到站點(diǎn)的VPN，以便通過VPN客戶端訪問公司網(wǎng)絡(luò)，或設(shè)置為基于網(wǎng)頁訪問的SSLVPN門戶。

Check Point表示，攻擊者正在利用舊的本地賬戶，使用不安全的僅密碼認(rèn)證方式攻擊安全網(wǎng)關(guān)，這種方式應(yīng)該與證書認(rèn)證結(jié)合使用，以防止漏洞被利用。

Check Point在公告中指出：“我們最近目睹了多家網(wǎng)絡(luò)安全供應(yīng)商的VPN解決方案被入侵。因此，我們一直在密切監(jiān)控試圖獲取Check Point客戶VPN的未授權(quán)訪問嘗試。到2024年5月24日，我們已經(jīng)識別出少量使用舊VPN本地賬戶的登錄嘗試，這些賬戶依賴于不推薦的密碼認(rèn)證方式。”

防御措施與建議

為了抵御這些持續(xù)攻擊，Check Point警告客戶檢查Quantum Security Gateway和Cloud Guard Network Security產(chǎn)品以及Mobile Access和Remote Access VPN軟件刀片上是否存在此類易受攻擊的賬戶。

Check Point還建議客戶選擇更安全的用戶認(rèn)證方法，或從安全管理服務(wù)器數(shù)據(jù)庫中刪除易受攻擊的本地賬戶。

此外，Check Point還發(fā)布了一個安全網(wǎng)關(guān)熱修復(fù)程序（https://support.checkpoint.com/results/sk/sk182336），可阻止所有本地賬戶使用密碼進(jìn)行登錄認(rèn)證。安裝后，僅使用密碼認(rèn)證的本地賬戶將被阻止登錄遠(yuǎn)程訪問VPN。

思科VPN設(shè)備同樣遭遇攻擊

CheckPoint是最近幾個月第二家警告其VPN設(shè)備遭遇攻擊的公司。

今年四月，思科也警告稱，其VPN和SSH服務(wù)遭遇廣泛的憑證暴力破解攻擊，一同遭受黑客的攻擊目標(biāo)還包括Check Point、SonicWall、Fortinet和Ubiquiti等多個廠商的設(shè)備。

針對思科VPN的攻擊始于2024年3月18日，攻擊來自TOR出口節(jié)點(diǎn)，并使用各種其他匿名工具和代理以規(guī)避阻攔。

一個月前，思科警告稱，其運(yùn)行遠(yuǎn)程訪問VPN（RAVPN）服務(wù)的CiscoSecureFirewall設(shè)備遭遇了大規(guī)模的密碼噴灑攻擊，可能屬于第一階段偵察活動的一部分。

安全研究員Aaron Martin將該攻擊歸因于一個未記錄的惡意軟件僵尸網(wǎng)絡(luò)“Brutus”，后者控制了至少2萬個IP地址，分布在云服務(wù)和住宅網(wǎng)絡(luò)中。

上個月，思科還披露稱，國家支持的黑客組織UAT4356（又名STORM-1849）自2023年11月以來一直利用Cisco Adaptive Security Appliance（ASA）和Firepower Threat Defense（FTD）防火墻中的零日漏洞，入侵全球政府網(wǎng)絡(luò)，該網(wǎng)絡(luò)間諜活動被追蹤為ArcaneDoor。