Check Point Software Technologies は月曜日、企業へのエントリ ポイントおよび攻撃ベクトルとしてリモート アクセス VPN デバイスをターゲットにする悪意のあるグループの関心が高まっていることを警告する新しい脅威勧告をリリースしました。
ご存じない方のために説明すると、チェック ポイントのリモート アクセス VPN (仮想プライベート ネットワーク) は、旅行中やリモートで作業しているときに、企業のデータ センターや本社にあるアプリやデータへの安全でシームレスなリモート アクセスをユーザーに提供します。ユーザーが送受信するすべてのトラフィックを暗号化します。
世界中の企業や政府にサイバー セキュリティ ソリューションを提供する大手プロバイダーであるチェック ポイント ソフトウェア テクノロジーズのセキュリティ研究者は、脅威アクターはリモート アクセス設定を通じて組織にアクセスすることに興味を持っていると述べました。
これは、重要な企業資産とユーザーを見つけ、脆弱性を探して主要な企業資産の永続性を確保するのに役立ちます。
「私たちは最近、さまざまなサイバー セキュリティ ベンダーを含む VPN ソリューションの侵害を目撃しました。これらの出来事を考慮して、当社はチェック・ポイントの顧客の VPN への不正アクセスの試みを監視してきました。」言った勧告では。
Check Point によると、同社は 2024 年 5 月 24 日までに、パスワードのみの認証で古い VPN ローカル アカウントを使用していた少数のログイン試行を特定できました。これは、証明書認証の追加レイヤーがないと安全ではないと考えられる方法です。
「私たちはそのような試みを3回目撃しており、その後、私たちが集めた特別チームでさらに分析したところ、潜在的に同じパターン(ほぼ同じ数)であると思われることがわかりました。したがって、世界的に数回の試みは全体としては傾向を理解するのに十分であり、特にその失敗を確実にする非常に簡単な方法である」とチェック・ポイントの広報担当者は語った。ピーピーコンピュータ。
こうした不正なリモート アクセスの試みに対処するために、チェック ポイントは顧客向けにいくつかの予防措置を講じています。
- Quantum Security Gateway および CloudGuard Network Security 製品、およびモバイル アクセスおよびリモート アクセス VPN ソフトウェア ブレードで脆弱なアカウントを確認します。
- ユーザー認証方法をより安全なオプションに変更します。
- 未使用の脆弱なローカル アカウントを Security Management Server データベースから削除します。
- Check Point の Security Gateway Hotfix を利用して、Check Point のパスワードを唯一の認証要素として使用するローカル アカウントをブロックすることで、製品全体のセキュリティを向上させます。
VPN セキュリティの向上に関する詳細情報と、不正アクセス試行への対応に関するガイダンスについては、Check Point の Web サイトを参照してください。サポート記事またはテクニカル サポート センターにお問い合わせください。
Check Point は、VPN デバイスが継続的な攻撃の標的となっている最初の企業ではありません。
2024 年 4 月、シスコはまた、Cisco Secure Firewall VPN、Checkpoint VPN、Fortinet VPN、SonicWall VPN、RD Web Services、Miktrotik、Draytek、Ubiquiti などの VPN および SSH サービスに影響を与えるブルート フォース攻撃の急増について警告しました。
このキャンペーンは少なくとも 2024 年 3 月 18 日に始まり、攻撃は TOR 出口ノードや、ブロックを防ぐためのその他のさまざまな匿名化トンネルやプロキシから始まりました。
