黑客大量攻击VPN，Check Point、思科紧急发布通知

本周一（5月27日），Check Point 公司发布警告称，有黑客针对其远程访问VPN设备发起了持续攻击。

Check Point 公司方面表示，这些攻击者的目标，是使用不安全的纯密码验证的旧本地账户的安全网关。一般来说，这种验证应与证书验证一起使用，以防止出现漏洞攻击事件。

Remote Access是集成在所有Check Point网络防火墙中的，并可以配置成客户端到站点VPN，通过VPN客户端访问企业网络，也可以设置成SSL VPN门户，进行基于Web的访问。

近期已经发生了多起VPN解决方案遭到破坏的事件，涉及到多家网络安全供应商。

研究人员表示：鉴于这些事件，我们一直在监控未经授权访问 Check Point 客户 VPN 的尝试。截至 2024 年 5 月 24 日，我们发现了少量使用旧 VPN 本地账户的登录尝试，这些账户依赖于未推荐的仅密码验证方法。

最初我们发现了 3 次这样的尝试，后来当我们与我们组建的特别小组进一步分析时发现他们使用的攻击方式可能是相同的模式。

Check Point 发言人称：这些黑客在全球范围内的几次尝试让我们了解到了一种趋势，尤其是一种确保攻击不成功的非常直接的方法。

为了抵御这些持续不断的攻击，Check Point警告客户要及时检查Quantum Security Gateway和CloudGuard Network Security产品以及Mobile Access和Remote Access VPN软件上是否有此类易受攻击的账户。

同时，他们还建议客户将用户验证方法更改为更安全的选项（使用本支持文档中的说明），或从安全管理服务器数据库中删除易受攻击的本地账户。

该公司还发布了一个安全网关热修复程序，它将阻止所有本地账户使用密码进行身份验证。安装后，仅使用弱密码验证的本地账户将无法登录远程访问 VPN。

安装热修补程序后阻止了存在漏洞的本地帐户（图源：Check Point）

思科VPN设备也成为严重攻击目标

Check Point是近几个月来第二家警告其VPN设备成为持续攻击目标的公司。

今年 4 月，思科也警告说，针对思科、Check Point、SonicWall、Fortinet 和 Ubiquiti 设备上的 VPN 和 SSH 服务的凭据暴力攻击非常普遍。

这种攻击最早始于今年 3 月 18 日左右，攻击源于 TOR 出口节点，并使用其他各种匿名工具和代理服务器来躲避拦截。

一个月前，思科发现了一波针对运行远程访问 VPN（RAVPN）服务的思科安全防火墙设备的密码喷射攻击，这可能是该攻击行动的第一阶段侦察活动。

安全研究员 Aaron Martin 认为此类活动于此前的「Brutus」恶意软件僵尸网络有所关联。据悉，该僵尸网络控制着云服务和住宅网络中至少 20000 个 IP 地址。

上个月，该公司还披露，UAT4356（又名 STORM-1849）黑客组织至少从 2023 年 11 月起就一直在利用思科自适应安全设备（ASA）和火力威胁防御（FTD）防火墙中的零日漏洞，用以入侵世界各地的政府网络，这种攻击活动被称为 ArcaneDoor 的网络间谍活动。