Atacantes estão investigando dispositivos VPN de acesso remoto da Check Point
Os invasores estão tentando obter acesso aos dispositivos VPN da Check Point por meio de contas locais protegidas apenas por senhas, alertou a empresa na segunda-feira.
Seu objetivo final é usar esse acesso para descobrir e migrar para outros ativos e usuários corporativos e obter persistência em ambientes corporativos.
Ataques contra VPN e outros serviços
Em meados de abril de 2024, o Cisco Talos alertou sobre um aumento global de ataques de força bruta contra serviços VPN, interfaces de autenticação de aplicações web e serviços SSH.
Os dispositivos alvo desses ataques foram Cisco, Check Point, Fortinet e Sonicwall (VPNs), bem como MiktroTik, Draytek e Ubiquiti.
As tentativas vieram de endereços IP associados a serviços de proxy e testaram combinações de nomes de usuário e senhas comuns mais prováveis, como “Passw0rd”, “qwerty”, “test123”, etc.
Os nomes de usuário utilizados se enquadram em uma das várias categorias:
- az iniciais do primeiro nome + sobrenomes comuns, por exemplo, “cwilliams”, “jgarcia”, “msmith”
- Nomes comuns como “mary”, “brian”, “leon”, etc.
- Palavras relacionadas à função/serviço: “test.user”, “superadmin”, “cloud”, “ftpadmin”, “backupuser”, “vpn”, etc.
A Check Point diz agora que também testemunhou recentemente soluções VPN comprometidas, incluindo aquelas de vários fornecedores de segurança cibernética.
“À luz destes acontecimentos, temos monitorizado as tentativas de obter acesso não autorizado às VPNs dos clientes da Check Point. Em 24 de maio de 2024, identificamos um pequeno número de tentativas de login usando contas locais VPN antigas, dependendo de um método de autenticação somente por senha não recomendado.”
Prevenção de ataques
A boa notícia aqui é que esses ataques podem ser facilmente frustrados:
- Desativando contas locais (se não forem usadas)
- Adicionar outra camada de autenticação (por exemplo, certificados) ou
- Instalando um hotfix que impede que usuários internos façam login na VPN de acesso remoto com senha como único fator de autenticação.
“A autenticação somente por senha é considerada um método desfavorável para garantir os mais altos níveis de segurança e recomendamos não confiar nisso ao fazer login na infraestrutura de rede”, disse Check Point, e ofereceu conselhos adicionais sobre como melhorar sua segurança VPN. postura e investigar tentativas de acesso não autorizado.
