信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

Check Point在近期發(fā)布的一份公告中稱，威脅者正針對Check Point遠程訪問VPN設(shè)備發(fā)起攻擊，以入侵企業(yè)網(wǎng)絡(luò)。

遠程訪問已集成到所有Check Point網(wǎng)絡(luò)防火墻中，它可以配置為客戶端到站點VPN，以便通過VPN客戶端訪問公司網(wǎng)絡(luò)，也可以設(shè)置為SSL VPN門戶，以進行基于Web的訪問。

Check Point表示，攻擊者正針對使用不安全的僅密碼身份驗證的舊本地帳戶的安全網(wǎng)關(guān)發(fā)起攻擊，這種身份驗證應(yīng)與證書身份驗證一起使用，以防止入侵。

該公司表示最近看到包括各種網(wǎng)絡(luò)安全供應(yīng)商在內(nèi)的VPN解決方案遭到入侵，鑒于這些事件，一直在監(jiān)控未經(jīng)授權(quán)訪問Check Point客戶的VPN的嘗試。截至2024年5月24日，發(fā)現(xiàn)了少量使用舊VPN本地帳戶的登錄嘗試，這些嘗試依賴于不推薦的僅密碼身份驗證方法。

為了防御這些正在進行的攻擊，Check Point提醒客戶檢查Quantum Security Gateway和CloudGuard Network Security產(chǎn)品以及移動訪問和遠程訪問VPN軟件刀片上是否存在此類易受攻擊的帳戶。

并建議客戶將用戶身份驗證方法更改為更安全的選項（使用此支持文檔中的說明）或從安全管理服務(wù)器數(shù)據(jù)庫中刪除易受攻擊的本地帳戶。

該公司還發(fā)布了安全網(wǎng)關(guān)修補程序，該修補程序?qū)⒆柚顾斜镜貛羰褂妹艽a進行身份驗證。安裝后，僅使用弱密碼身份驗證的本地帳戶將被阻止登錄遠程訪問VPN。

安裝修補程序后易受攻擊的本地帳戶被阻止（Check Point）

思科VPN設(shè)備也成為攻擊目標

Check Point是第二家警告其VPN設(shè)備在最近幾個月的持續(xù)攻擊中成為目標的公司。

今年4月，針對思科、Check Point、SonicWall、Fortinet和Ubiquiti設(shè)備上的VPN和SSH服務(wù)的憑證暴力破解攻擊十分猖獗。

該活動始于2024年3月18日左右，攻擊源自TOR出口節(jié)點，并使用各種其他匿名化工具和代理來逃避阻止。

一個月前，思科警告稱，針對運行遠程訪問VPN（RAVPN）服務(wù)的思科安全防火墻設(shè)備可能會出現(xiàn)一波密碼噴灑攻擊，這可能是第一階段偵察活動的一部分。

安全研究員亞倫·馬丁將此活動與一個未記錄的惡意軟件僵尸網(wǎng)絡(luò)聯(lián)系起來，他將其稱為“Brutus”，該網(wǎng)絡(luò)控制著云服務(wù)和住宅網(wǎng)絡(luò)中至少20000個IP地址。

上個月，該公司還透露，自2023年11月以來，受國家支持的黑客組織UAT4356（又名STORM-1849）一直在利用思科自適應(yīng)安全設(shè)備(ASA)和Firepower威脅防御(FTD)防火墻中的零日漏洞入侵全球政府網(wǎng)絡(luò)，該活動被追蹤為ArcaneDoor。