In einer aktuellen Warnmeldung informierte das Unternehmen Check Point, dass Bedrohungsakteure gezielt Check Point Remote Access VPN-Geräte angreifen, um in Unternehmensnetzwerke einzudringen.
Inhaltsverzeichnis
Schwachstellen in der Authentifizierung
Die Remote Access-Funktion ist in alle Check Point Netz-Firewalls integriert und kann entweder als Client-to-Site VPN für den Zugang zu Firmennetzwerken über VPN-Clients oder als SSL VPN-Portal für den webbasierten Zugriff konfiguriert werden.
Check Point berichtet, dass die Angreifer Sicherheits-Gateways mit alten lokalen Konten ins Visier nehmen, die unsichere Passwort-Authentifizierungen nutzen. Diese sollten durch die Zertifikats-Authentifizierung ergänzt werden, um Sicherheitslücken zu schließen.
Reaktionen und Sicherheitsmaßnahmen
„Wir haben kürzlich kompromittierte VPN-Lösungen, einschließlich verschiedener Cybersicherheitsanbieter, beobachtet. Angesichts dieser Ereignisse überwachen wir Versuche, unbefugten Zugang zu den VPNs unserer Kunden zu erlangen. Bis zum 24. Mai 2024 haben wir eine kleine Anzahl von Login-Versuchen mit alten lokalen VPN-Konten festgestellt, die auf die nicht empfohlene Passwort-Authentifizierungsmethode setzen“, teilte das Unternehmen mit.
Ein Sprecher von Check Point erklärte gegenüber BleepingComputer: „Wir haben drei solcher Versuche gesehen und später, als wir es mit den speziellen Teams weiter analysierten, sahen wir ähnliche Muster. Insgesamt nur wenige Versuche weltweit, aber genug, um einen Trend zu erkennen und vor allem eine einfache Methode zu finden, um solche Versuche zu verhindern.“
Um sich gegen diese Angriffe zu schützen, rät Check Point seinen Kunden, ihre Sicherheits-Gateways auf anfällige Konten zu überprüfen. Dies gilt für die Produkte Quantum Security Gateway und CloudGuard Network Security sowie für die Mobile Access und Remote Access VPN-Software.
Anhaltende Bedrohungen für VPN-Geräte
Check Point ist nicht das einzige Unternehmen, das in den letzten Monaten vor Angriffen auf seine VPN-Geräte warnt. Im April informierte Cisco über weit verbreitete Brute-Force-Angriffe auf VPN- und SSH-Dienste, die auf Geräte von Cisco, Check Point, SonicWall, Fortinet und Ubiquiti abzielen.
Diese Angriffswelle begann um den 18. März 2024, wobei die Angriffe von TOR-Exit-Knoten ausgingen und verschiedene Anonymisierungstools und Proxys nutzten, um Blockierungen zu umgehen.
Einen Monat zuvor hatte Cisco über eine Welle von Passwort-Spraying-Angriffen auf Cisco Secure Firewall-Geräte berichtet, die Remote Access VPN (RAVPN)-Dienste betreiben. Diese Angriffe wurden vermutlich im Rahmen von Erstaufklärungsaktivitäten durchgeführt.
Der Sicherheitsforscher Aaron Martin führte diese Aktivitäten auf ein undokumentiertes Malware-Botnetz zurück, das er „Brutus“ nannte und das mindestens 20.000 IP-Adressen aus Cloud-Diensten und privaten Netzwerken kontrollierte.
Letzten Monat enthüllte das Unternehmen auch, dass die staatlich unterstützte Hackergruppe UAT4356 (auch bekannt als STORM-1849) seit mindestens November 2023 Zero-Day-Schwachstellen in Cisco Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD)-Firewalls nutzt, um weltweit Regierungsnetzwerke in einer Cyber-Spionage-Kampagne zu infiltrieren, die als ArcaneDoor verfolgt wird.
Erstellt am: 30. Mai 2024