Les acteurs de la menace ciblent les périphériques VPN d’accès à distance Check Point dans le cadre d’une campagne en cours visant à violer les réseaux d’entreprise, a averti la société dans un avis publié lundi.
L’accès à distance est intégré à tous les pare-feu réseau Check Point. Il peut être configuré en tant que VPN client-site pour accéder aux réseaux d’entreprise via des clients VPN ou configuré en tant que portail VPN SSL pour un accès Web.
Check Point indique que les attaquants ciblent les passerelles de sécurité avec d’anciens comptes locaux en utilisant une authentification non sécurisée par mot de passe uniquement, qui devrait être utilisée avec l’authentification par certificat pour éviter les violations.
« Nous avons récemment été témoins de solutions VPN compromises, y compris divers fournisseurs de cybersécurité. À la lumière de ces événements, nous surveillons les tentatives d’accès non autorisé aux VPN des clients de Check Point », a déclaré la société.
« Au 24 mai 2024, nous avons identifié un petit nombre de tentatives de connexion utilisant d’anciens comptes locaux VPN reposant sur une méthode d’authentification par mot de passe uniquement non recommandée. »
Pour se défendre contre ces attaques en cours, Check Point a averti les clients de rechercher de tels comptes vulnérables sur les produits de sécurité réseau Quantum Security Gateway et CloudGuard et sur les lames logicielles VPN d’Accès mobile et d’Accès à distance.
Il est conseillé aux clients de modifier la méthode d’authentification des utilisateurs pour des options plus sécurisées (en suivant les instructions de ce document d’assistance) ou de supprimer les comptes locaux vulnérables de la base de données du serveur de gestion de la sécurité.
La société a également publié un correctif de passerelle de sécurité qui empêchera tous les comptes locaux de s’authentifier avec un mot de passe. Après l’installation, les comptes locaux avec une authentification par mot de passe faible ne pourront pas se connecter au VPN d’accès distant.
Les clients peuvent trouver plus d’informations sur l’amélioration de la sécurité de leurs VPN dans cet article d’assistance, qui partage également des conseils sur la réponse aux tentatives d’accès non autorisées.
Un porte-parole de Check Point n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace pour plus de détails sur le nombre d’attaques détectées et si des VPN clients ont été violés.
Les périphériques VPN Cisco également fortement ciblés
Check Point est la deuxième entreprise à avertir que ses appareils VPN sont la cible d’attaques en cours ces derniers mois.
En avril, Cisco a également mis en garde contre des attaques généralisées de forçage brutal des informations d’identification ciblant les services VPN et SSH sur les appareils Cisco, Check Point, SonicWall, Fortinet et Ubiquiti.
Cette campagne a débuté vers le 18 mars 2024, les attaques provenant des nœuds de sortie de TOR et utilisant divers autres outils d’anonymisation et proxys pour échapper aux blocages.
Un mois plus tôt, Cisco avait mis en garde contre une vague d’attaques par pulvérisation de mots de passe ciblant les périphériques Cisco Secure Firewall exécutant des services VPN d’accès à distance (RAVPN), probablement dans le cadre d’une activité de reconnaissance de première étape.
Le chercheur en sécurité Aaron Martin a lié cette activité à un botnet malveillant non documenté qu’il a surnommé « Brutus », qui contrôlait au moins 20 000 adresses IP sur les services cloud et les réseaux résidentiels.
Le mois dernier, la société a également révélé que le groupe de piratage soutenu par l’État UAT4356 (alias STORM-1849) utilisait des bogues zero-day dans les pare-feu Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) pour violer les réseaux gouvernementaux dans le monde entier depuis au moins novembre 2023 dans une campagne de cyberespionnage suivie sous le nom d’ArcaneDoor.