Şirket Pazartesi günü yaptığı açıklamada, saldırganların yalnızca parolalarla korunan yerel hesaplar aracılığıyla Check Point VPN cihazlarına erişmeye çalıştıkları konusunda uyardı.
Nihai hedefleri, bu erişimi diğer kurumsal varlıkları ve kullanıcıları keşfetmek ve bunlara yönlendirmek için kullanmak ve kurumsal ortamlarda kalıcılık kazanmaktır.
VPN ve diğer hizmetlere yönelik saldırılar
Nisan 2024’ün ortalarında Cisco Talos, VPN hizmetlerine, web uygulaması kimlik doğrulama arayüzlerine ve SSH hizmetlerine yönelik kaba kuvvet saldırılarında küresel bir artış konusunda uyarıda bulundu.
Bu saldırılarda hedeflenen cihazlar Cisco, Check Point, Fortinet ve Sonicwall’un (VPN’ler) yanı sıra MiktroTik, Draytek ve Ubiquiti’nin cihazlarıydı.
Denemeler proxy hizmetleriyle ilişkili IP adreslerinden geliyordu ve “Passw0rd”, “qwerty”, “test123” vb. gibi büyük olasılıkla kullanıcı adı ve ortak şifrelerin kombinasyonlarını deniyordu.
Kullanılan kullanıcı adları birkaç kategoriden birine girer:
- az adın baş harfleri + yaygın soyadlar, örneğin “cwilliams”, “jgarcia”, “msmith”
- “Mary”, “brian”, “leon” vb. gibi yaygın isimler.
- Rol/hizmetle ilgili kelimeler: “test.user”, “superadmin”, “cloud”, “ftpadmin”, “backupuser”, “vpn” vb.
Check Point artık, çeşitli siber güvenlik satıcılarınınkiler de dahil olmak üzere yakın zamanda güvenliği ihlal edilmiş VPN çözümlerine de tanık olduklarını söylüyor.
“Bu olayların ışığında, Check Point müşterilerinin VPN’lerine yetkisiz erişim sağlama girişimlerini izliyoruz. 24 Mayıs 2024 itibarıyla, önerilmeyen yalnızca şifre kimlik doğrulama yöntemine dayanan, eski VPN yerel hesaplarını kullanan az sayıda oturum açma girişimi tespit ettik.”
Saldırı önleme
Buradaki iyi haber şu ki, bu saldırılar aşağıdaki yöntemlerle kolaylıkla engellenebilir:
- Yerel hesapları devre dışı bırakma (kullanılmıyorlarsa)
- Başka bir kimlik doğrulama katmanı eklemek (örneğin, sertifikalar) veya
- Dahili kullanıcıların, tek kimlik doğrulama faktörü olarak parolayla Uzaktan Erişim VPN’inde oturum açmasını engelleyen bir düzeltmenin yüklenmesi.
Check Point, “Yalnızca parolayla kimlik doğrulama, en yüksek düzeyde güvenliği sağlamak için elverişsiz bir yöntem olarak değerlendiriliyor ve ağ altyapısında oturum açarken buna güvenmemenizi öneririz” dedi ve VPN güvenliklerini nasıl geliştirebilecekleri konusunda ek tavsiyeler sundu. Yetkisiz erişim girişimlerini değerlendirin ve araştırın.