Check Point Yazılım Teknolojileri kısa süre önce, tehdit aktörlerinin Uzaktan Erişim VPN cihazlarını hedef alarak kurumsal ağları ihlal etmeye yönelik devam eden kampanyasına ilişkin bir tavsiye yayınladı.
Bu gelişme, kötü niyetli grupların kurumsal altyapılara giriş noktaları olarak uzaktan erişim VPN ortamlarından yararlanmaya yönelik artan ilgisinin altını çiziyor.
Check Point’in Uzaktan Erişim VPN’si, tüm ağ güvenlik duvarlarına entegre olup, VPN istemcileri veya web tabanlı SSL VPN portalları aracılığıyla kurumsal ağlara güvenli erişim sağlar.
Ancak saldırganlar, yalnızca parola kimlik doğrulamasına dayanan, güncelliği geçmiş yerel hesaplara sahip güvenlik ağ geçitlerine odaklanıyor; bu yöntem, ek sertifika kimlik doğrulama katmanı olmadan güvenli olmadığı düşünülen bir yöntem.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers
Şirket, 24 Mayıs 2024 itibarıyla eski VPN yerel hesaplarını yalnızca parolayla kimlik doğrulamayla kullanan az sayıda oturum açma girişimi tespit ettiklerini bildirdi.
Bu girişimler, yetkisiz erişim için basit bir yönteme işaret eden daha geniş bir küresel eğilimin parçasıydı.
“Bir Check Point sözcüsü başlangıçta bu tür üç girişimi ortaya çıkardı ve daha ileri analizler, diğer durumlarda da benzer bir model olduğunu öne sürerek, gelişmiş güvenlik önlemlerine duyulan ihtiyacın altını çizdi”.
Öneriler ve Önleyici Tedbirler
Bu saldırılara karşı Check Point müşterilerine çeşitli önerilerde bulundu:
- Savunmasız Hesapları Kontrol Edin: Müşterilere, sistemlerini yerel hesaplar açısından incelemeleri, kullanımlarını belirlemeleri ve yalnızca parola kimlik doğrulamasına dayanan hesapları belirlemeleri önerilir.
- Kullanılmayan Hesapları Devre Dışı Bırak: Yerel hesaplar kullanımda değilse, olası suiistimalleri önlemek için bunları devre dışı bırakmak en iyisidir.
- Kimlik Doğrulama Yöntemlerini Geliştirin: Etkin kalması gereken hesaplar için, güvenliği artırmak amacıyla sertifikalar gibi başka bir kimlik doğrulama katmanı eklenmesi önerilir.
- Güvenlik Ağ Geçidi Düzeltmesini Dağıtın: Check Point, Güvenlik Ağ Geçidi için tüm yerel hesapların yalnızca bir parolayla kimlik doğrulamasını engelleyen bir düzeltme yayınladı. Bu önlem, zayıf yalnızca parola kimlik doğrulamasına sahip hesapların Uzaktan Erişim VPN’inde oturum açamamasını sağlar.
Check Point bu tür tehditlerle karşı karşıya kalan tek şirket değil. Nisan 2024’te Cisco ayrıca Check Point, SonicWall, Fortinet ve Ubiquiti dahil olmak üzere birden fazla satıcının cihazlarındaki VPN ve SSH hizmetlerini hedef alan yaygın kimlik bilgisi kaba kuvvet saldırıları konusunda da uyardı.
TOR çıkış düğümlerinden ve diğer anonimleştirme araçlarından kaynaklanan bu saldırılar, 18 Mart 2024’ten bu yana daha geniş bir kampanyanın parçası oldu.
Cisco’nun uyarıları, bulut hizmetlerinde ve konut ağlarında 20.000’den fazla IP adresini kontrol eden “Brutus” kötü amaçlı yazılım botnetiyle bağlantılı şifre püskürtme saldırılarına ilişkin raporları içeriyordu.
Ek olarak, UAT4356 devlet destekli bilgisayar korsanlığı grubu, Kasım 2023’ten bu yana küresel olarak hükümet ağlarına sızmak için Cisco’nun Uyarlanabilir Güvenlik Cihazı (ASA) ve Ateş Gücü Tehdit Savunması (FTD) güvenlik duvarlarındaki sıfır gün güvenlik açıklarından yararlanıyor.
VPN hizmetlerine yönelik saldırılarda son dönemde yaşanan artış, sağlam güvenlik önlemlerine olan kritik ihtiyacın altını çiziyor. Check Point’in bir düzeltme yayınlamak ve VPN güvenlik duruşunu geliştirmeye yönelik ayrıntılı öneriler de dahil olmak üzere proaktif adımları, bu karmaşık siber tehditlerin oluşturduğu riskleri azaltmayı amaçlamaktadır.
Kuruluşların, ağlarını yetkisiz erişime ve olası ihlallere karşı korumak için bu yönergeleri titizlikle takip etmeleri önerilir.
Müşteriler, VPN güvenliğini iyileştirme ve yetkisiz erişim girişimlerine yanıt verme konusunda daha ayrıntılı rehberlik için Check Point’in destek belgelerine bakabilir ve yardım için teknik destek merkezleriyle iletişime geçebilir.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service