近日，Check Point、思科等多家知名VPN品牌產(chǎn)品接連遭遇黑客攻擊。

Check Point遠(yuǎn)程訪問(wèn)VPN面臨攻擊

據(jù)BleepingComputer報(bào)道，Check Point公司本周一發(fā)布公告稱(chēng)，黑客正在持續(xù)攻擊Check Point遠(yuǎn)程訪問(wèn)VPN設(shè)備，試圖入侵企業(yè)網(wǎng)絡(luò)。

Check Point的遠(yuǎn)程訪問(wèn)功能集成在所有Check Point網(wǎng)絡(luò)防火墻中，可以配置為客戶(hù)端到站點(diǎn)的VPN，以便通過(guò)VPN客戶(hù)端訪問(wèn)公司網(wǎng)絡(luò)，或設(shè)置為基于網(wǎng)頁(yè)訪問(wèn)的SSLVPN門(mén)戶(hù)。

Check Point表示，攻擊者正在利用舊的本地賬戶(hù)，使用不安全的僅密碼認(rèn)證方式攻擊安全網(wǎng)關(guān)，這種方式應(yīng)該與證書(shū)認(rèn)證結(jié)合使用，以防止漏洞被利用。

Check Point在公告中指出：“我們最近目睹了多家網(wǎng)絡(luò)安全供應(yīng)商的VPN解決方案被入侵。因此，我們一直在密切監(jiān)控試圖獲取Check Point客戶(hù)VPN的未授權(quán)訪問(wèn)嘗試。到2024年5月24日，我們已經(jīng)識(shí)別出少量使用舊VPN本地賬戶(hù)的登錄嘗試，這些賬戶(hù)依賴(lài)于不推薦的密碼認(rèn)證方式?！?/p>

防御措施與建議

為了抵御這些持續(xù)攻擊，Check Point警告客戶(hù)檢查Quantum Security Gateway和Cloud Guard Network Security產(chǎn)品以及Mobile Access和Remote Access VPN軟件刀片上是否存在此類(lèi)易受攻擊的賬戶(hù)。

Check Point還建議客戶(hù)選擇更安全的用戶(hù)認(rèn)證方法，或從安全管理服務(wù)器數(shù)據(jù)庫(kù)中刪除易受攻擊的本地賬戶(hù)。

此外，Check Point還發(fā)布了一個(gè)安全網(wǎng)關(guān)熱修復(fù)程序（https://support.checkpoint.com/results/sk/sk182336），可阻止所有本地賬戶(hù)使用密碼進(jìn)行登錄認(rèn)證。安裝后，僅使用密碼認(rèn)證的本地賬戶(hù)將被阻止登錄遠(yuǎn)程訪問(wèn)VPN。

思科 VPN設(shè)備同樣遭遇攻擊

CheckPoint是最近幾個(gè)月第二家警告其VPN設(shè)備遭遇攻擊的公司。

今年四月，思科也警告稱(chēng)，其VPN和SSH服務(wù)遭遇廣泛的憑證暴力破解攻擊，一同遭受黑客的攻擊目標(biāo)還包括Check Point、SonicWall、Fortinet和Ubiquiti等多個(gè)廠商的設(shè)備。

針對(duì)思科VPN的攻擊始于2024年3月18日，攻擊來(lái)自TOR出口節(jié)點(diǎn)，并使用各種其他匿名工具和代理以規(guī)避阻攔。

一個(gè)月前，思科警告稱(chēng)，其運(yùn)行遠(yuǎn)程訪問(wèn)VPN（RAVPN）服務(wù)的CiscoSecureFirewall設(shè)備遭遇了大規(guī)模的密碼噴灑攻擊，可能屬于第一階段偵察活動(dòng)的一部分。

安全研究員Aaron Martin將該攻擊歸因于一個(gè)未記錄的惡意軟件僵尸網(wǎng)絡(luò)“Brutus”，后者控制了至少2萬(wàn)個(gè)IP地址，分布在云服務(wù)和住宅網(wǎng)絡(luò)中。

上個(gè)月，思科還披露稱(chēng)，國(guó)家支持的黑客組織UAT4356（又名STORM-1849）自2023年11月以來(lái)一直利用Cisco Adaptive Security Appliance（ASA）和Firepower Threat Defense（FTD）防火墻中的零日漏洞，入侵全球政府網(wǎng)絡(luò)，該網(wǎng)絡(luò)間諜活動(dòng)被追蹤為ArcaneDoor。