‫ مهاجمان در حال بررسی دسترسی از راه دور به Check Point دستگاه های VPN هستند

مهاجمان سعی می‌کنند از طریق حساب‌های محلی که فقط با رمز عبور محافظت می‌شوند به دستگاه‌های Check Point VPN دسترسی پیدا کنند هدف نهایی آنها استفاده از این دسترسی برای کشف کاربران سازمانی، سایر دارایی‌ها و به دست آوردن پایداری در محیط های سازمانی است.

حملات علیه VPN و سایر خدمات

در اواسط آوریل 2024، Cisco Talos هشداری در مورد افزایش جهانی حملات brute-force علیه سرویس‌های VPN، رابط‌های احراز هویت برنامه‌های وب و سرویس‌های SSH منتشر کرد دستگاه‌هایی که در این حملات مورد هدف قرار گرفته‌اند، دستگاه‌های Cisco، Check Point، Fortinet و Sonicwall (VPN) و همچنین MiktroTik، Draytek و Ubiquiti بودند.

تلاش برای هک و نفوذ از آدرس‌های IP مرتبط با سرویس‌های پراکسی انجام می‌شد و ترکیبی از نام‌های کاربری و رمزهای عبور رایج، مانند “Passw0rd”, “qwerty”, “test123”, و غیره را امتحان می‌کردند.

نام های کاربری استفاده شده در یکی از چندین دسته زیر قرار می گیرند:

• حروف اول نام + نام خانوادگی، به عنوان مثال "cwilliams"، "jgarcia"، "msmith"
• نام‌های رایج مانند مری، برایان، لئون و غیره.
• کلمات مرتبط با شغل/نوع سرویس: "test.user"، "superadmin"، "cloud"، "ftpadmin"، "backupuser"، "vpn" و غیره.

Check Point اکنون می‌گوید «ما حملات برای دسترسی غیرمجاز به VPN‌های مشتریان Check Point را رصد کرده‌ایم تا 24 مه 2024 تعداد کمی تلاش برای ورود به سیستم با استفاده از حساب‌های محلی VPN قدیمی شناسایی کردیم که با روش احراز هویت فقط با رمز عبور بوده است.

پیشگیری از حمله

خبر خوب این است که با انجام اقدامات زیر این حملات را می توان به راحتی خنثی کرد:

• غیرفعال کردن حساب‌های محلی (در صورت عدم استفاده)
• افزودن یک لایه دیگر احراز هویت (به عنوان مثال، سرتیفیکیت‌ها)
• نصب یک Hotfix که کاربران داخلی را از ورود به Remote Access VPN با رمز عبور به عنوان تنها عامل احراز هویت مسدود می کند.

شرکت چک پوینت: «احراز هویت فقط با رمز عبور روشی نامطلوب برای اطمینان از بالاترین سطوح امنیت در نظر گرفته می‌شود، و توصیه می‌کنیم هنگام ورود به زیرساخت شبکه به آن اعتماد نکنید» و درمورد چگونگی بهبود امنیت VPN و بررسی هرگونه تلاش ناموفق برای دسترسی غیرمجاز توصیه‌هایی را ارائه کرد.