Categories: ALERTAS

Atacantes estão investigando dispositivos VPN de acesso remoto da Check Point

Seu objetivo final é usar esse acesso para descobrir e migrar para outros ativos e usuários corporativos e obter persistência em ambientes corporativos.

Ataques contra VPN e outros serviços

Em meados de abril de 2024, o Cisco Talos alertou sobre um aumento global de ataques de força bruta contra serviços VPN, interfaces de autenticação de aplicações web e serviços SSH.

Os dispositivos alvo desses ataques foram Cisco, Check Point, Fortinet e Sonicwall (VPNs), bem como MiktroTik, Draytek e Ubiquiti.

As tentativas vieram de endereços IP associados a serviços de proxy e testaram combinações de nomes de usuário e senhas comuns mais prováveis, como “Passw0rd”, “qwerty”, “test123”, etc.

Os nomes de usuário utilizados se enquadram em uma das várias categorias:

  • az iniciais do primeiro nome + sobrenomes comuns, por exemplo, “cwilliams”, “jgarcia”, “msmith”
  • Nomes comuns como “mary”, “brian”, “leon”, etc.
  • Palavras relacionadas à função/serviço: “test.user”, “superadmin”, “cloud”, “ftpadmin”, “backupuser”, “vpn”, etc.

A Check Point diz agora que também testemunhou recentemente soluções VPN comprometidas, incluindo aquelas de vários fornecedores de segurança cibernética.

“À luz destes acontecimentos, temos monitorizado as tentativas de obter acesso não autorizado às VPNs dos clientes da Check Point. Em 24 de maio de 2024, identificamos um pequeno número de tentativas de login usando contas locais VPN antigas, dependendo de um método de autenticação somente por senha não recomendado.”

Prevenção de ataques

A boa notícia aqui é que esses ataques podem ser facilmente frustrados:

  • Desativando contas locais (se não forem usadas)
  • Adicionar outra camada de autenticação (por exemplo, certificados) ou
  • Instalando um hotfix que impede que usuários internos façam login na VPN de acesso remoto com senha como único fator de autenticação.

“A autenticação somente por senha é considerada um método desfavorável para garantir os mais altos níveis de segurança e recomendamos não confiar nisso ao fazer login na infraestrutura de rede”, disse Check Point, e ofereceu conselhos adicionais sobre como melhorar sua segurança VPN. postura e investigar tentativas de acesso não autorizado.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja
Tags: checkpointcyberattackhackingtalos
1 ano ago

Recent Posts

Instalador falso do AnyDesk espalha o MetaStealer por meio do golpe ClickFix

Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…

1 dia ago

Atores de ameaças abusam da IA ​​Grok do X para espalhar links maliciosos

Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…

1 dia ago

WinRAR 0day: Explorações em andamento

As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.

3 semanas ago

Escritórios do governo na Carolina do Norte, Geórgia, sofrem ataques cibernéticos

Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…

3 meses ago

Nytheon AI Tool está ganhando tração em forums de Hacking

O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…

3 meses ago

Nova Vulnerabilidade 0day de Injection no Salesforce SOQL Expõe Milhões de Implantações

Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…

3 meses ago