Check Point hat in einer Warnmeldung am Montag darauf hingewiesen, dass Bedrohungsakteure gezielt Remote Access VPN-Geräte angreifen, um in Unternehmensnetzwerke einzudringen. Diese VPN-Geräte sind in alle Netzwerk-Firewalls von Check Point integriert und können als Client-zu-Site-VPN für den Zugang zu Unternehmensnetzwerken über VPN-Clients oder als SSL-VPN-Portal für webbasierten Zugriff konfiguriert werden.

Angriffe auf veraltete lokale Konten

Laut Check Point zielen die Angreifer auf Sicherheitsgateways ab, die alte lokale Konten mit unsicherer, nur passwortbasierter Authentifizierung verwenden, obwohl die Nutzung von Zertifikatsauthentifizierung empfohlen wird, um Sicherheitsverletzungen zu vermeiden. „Wir haben kürzlich Kompromittierungen von VPN-Lösungen beobachtet, einschließlich verschiedener Cybersicherheitsanbieter. Im Licht dieser Ereignisse haben wir Versuche überwacht, unautorisierten Zugriff auf VPNs unserer Kunden zu erlangen. Bis zum 24. Mai 2024 identifizierten wir eine kleine Anzahl von Login-Versuchen, die alte VPN-Lokalkonten nutzten, die auf einer nicht empfohlenen, nur passwortbasierten Authentifizierungsmethode basierten“, erklärte das Unternehmen.

Maßnahmen gegen die laufenden Angriffe

Um sich gegen diese anhaltenden Angriffe zu verteidigen, warnt Check Point die Kunden, solche anfälligen Konten auf Quantum Security Gateway und CloudGuard Network Security Produkten sowie auf Mobile Access und Remote Access VPN-Softwareblades zu überprüfen.

Den Kunden wird geraten, die Benutzerauthentifizierungsmethode auf sicherere Optionen umzustellen (gemäß Anleitung in diesem Support-Dokument) oder verwundbare lokale Konten aus der Datenbank des Security Management Servers zu löschen.

Das Unternehmen hat auch einen Security Gateway Hotfix veröffentlicht, der die Authentifizierung aller lokalen Konten mit einem Passwort blockiert. Nach der Installation wird verhindert, dass lokale Konten mit schwacher, nur passwortbasierter Authentifizierung sich beim Remote Access VPN anmelden können.

Weitere Informationen zur Verbesserung der Sicherheit ihrer VPNs finden Kunden in einem Support-Artikel, der auch Anleitungen zum Umgang mit unautorisierten Zugriffsversuchen bietet.

Zusätzliche Bedrohungen durch andere Unternehmen

Check Point ist das zweite Unternehmen, das in den letzten Monaten vor laufenden Angriffen auf seine VPN-Geräte warnt. Im April hatte auch Cisco vor weit verbreiteten Brute-Force-Angriffen auf VPN- und SSH-Dienste auf Geräten von Cisco, Check Point, SonicWall, Fortinet und Ubiquiti gewarnt. Diese Kampagne begann am 18. März 2024 und nutzte TOR-Exit-Knoten sowie verschiedene andere Anonymisierungstools und Proxies, um Blockierungen zu umgehen.