Check Point araştırmacıları, kurumsal ağlara erişim sağlamak için giriş noktası olarak uzaktan erişim VPN ortamlarını hedefleyen tehdit aktörü gruplarında bir artış gözlemledi.
Bu tehditlere yanıt olarak Check Point, Check Point VPN’lerindeki yetkisiz erişim girişimlerini izliyor ve sorunu çözmek için önleyici bir çözüm yayınladı. Araştırmacılar sorunun Check Point VPN’lerinden daha kapsamlı olduğunu öne sürse de düzeltme yalnızca Check Point ortamları için geçerli.
Check Point VPN’e Yetkisiz Erişim Girişimlerinin Belirlenmesi
24 Mayıs’ta Check Point, önerilmeyen yalnızca parolayla kimlik doğrulama yöntemine dayanan eski VPN yerel hesaplarını kullanan az sayıda oturum açma girişimi tespit etti. Şirket, bu girişimleri ve potansiyel olarak ilgili diğer olayları kapsamlı bir şekilde araştırmak için Olay Müdahalesi, Araştırma, Teknik Hizmetler ve Ürünler uzmanlarından oluşan özel ekipler oluşturdu.
Ekipler 24 saat içinde benzer girişimlere maruz kalan birçok potansiyel müşteriyi tespit ederek onları bilgilendirdi. Ekipler, yalnızca parolayla yapılan kimlik doğrulama yöntemlerinin güvenli olmadığını ve ağ altyapısının tehlikeye girmesine karşı daha duyarlı olduğunu düşünüyor ve ağ altyapısında oturum açarken yalnızca bu yöntemlere güvenilmemesini öneriyor.
Ekipler tarafından önleyici tedbir olarak çeşitli noktalar tavsiye edildi:
- Kullanılmayan yerel hesapların incelenmesi ve devre dışı bırakılması.
- Yalnızca parola içeren hesaplara sertifikalar gibi ek bir kimlik doğrulama katmanı uygulama.
- Yetkisiz erişimi otomatik olarak engellemek için Güvenlik Ağ Geçitlerine ek çözümler dağıtma.
- Ek rehberlik ve yardım için Check Point teknik destek ekibiyle veya yerel bir temsilciyle iletişime geçmek.
Yetkisiz erişim girişimi şüphesi durumunda, Check Point araştırmacıları kuruluşların yerel hesapların tüm uzaktan erişim bağlantılarını yalnızca parola kimlik doğrulamasıyla analiz etmelerini, son 3 aya ait bağlantı günlüklerini izlemelerini ve kullanıcı ayrıntılarının, zamanın, kaynak IP adresinin bilindiğini doğrulamalarını önermektedir. , istemci adı, işletim sistemi adı ve yapılandırılmış kullanıcılara ve iş ihtiyaçlarına göre uygulama.
Check Point ayrıca, yalnızca parola kimlik doğrulaması kullanan kullanıcıların Güvenlik Ağ Geçitlerine bağlanmasını engellemek için bir düzeltme yayımladı. Uygulamanın ardından, yerel hesaplar için yalnızca parola içeren kimlik doğrulama yöntemlerinin Check Point Uzaktan Erişim VPN’inde oturum açması engellenecektir.
Herhangi bir bağlantı veya kullanıcı doğrulanmazsa olay müdahale taktik kitabının çalıştırılması veya Check Point Desteği veya yerel bir Check Point temsilcisiyle iletişime geçilmesi tavsiye edilir. Şirket, çeşitli siber güvenlik tedarikçilerininkiler de dahil olmak üzere çeşitli VPN çözümlerinin tehlikeye atıldığına tanık olduğunu belirtti.
Check Point VPN Düzeltmesinin Uygulanması
Check Point, VPN ortamındaki potansiyel güvenlik risklerini belirlemek için bir komut dosyası yayınladı. İşletmeler VPNcheck_v2.zip arşiv dosyasını indirerek çözüm sayfasında belirtilen adımları takip edebilirler.
Komut dosyası yerel hesapları yalnızca parola kimlik doğrulamasıyla tanımlıyorsa, kullanıcılar bir seçenek olarak Güvenlik Ağ Geçidi Düzeltmesinin kurulumuna devam edebilir. Düzeltme, Check Point Yükseltme Hizmet Motoru (CPUSE) aracılığıyla veya el ile indirme yoluyla edinilebilir.
Düzeltme yeni bir komut uygular: BlockSFAİç Kullanıcıları, Güvenlik Ağ Geçidine, yöneticilerin yalnızca parola kimlik doğrulamasıyla dahili kullanıcılara erişimi engellemesine veya bunlara erişim izni vermesine olanak tanır. Varsayılan değer, dahili kullanıcıların yalnızca parola kimlik doğrulamasıyla bağlanmasını engelleyecek şekilde ayarlanmıştır.
Düzeltmeyi yükledikten sonra, yalnızca zayıf parola kimlik doğrulama yöntemini kullanarak bağlanmaya çalışan kullanıcılar, engellenen girişimin başarısız olduğunu belirten bir güvenlik günlüğü alacaktır.
Uzaktan operasyonlar ve çevrimiçi tehditler arttıkça kuruluşların, bu ortamlara yetkisiz erişim girişimlerini izlerken daha sıkı VPN kimlik doğrulama yöntemlerinin uygulanmasına öncelik vermesi gerekiyor. Bunun yapılmaması, ağ altyapısının veya varlıklarının tehlikeye girmesine, veri ihlallerine ve ciddi mali ve itibar kaybına yol açabilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.