Check Point Software Technologies a mis en garde contre les tentatives d’attaques contre ses VPN en ciblant les comptes qui utilisent des mots de passe comme seul moyen d’authentification.
L’avertissement est venu via un article de blog publié lundi, exhortant les lecteurs à améliorer leur posture de sécurité VPN. Check Point a déclaré avoir constaté une augmentation du nombre d’acteurs malveillants exploitant les environnements VPN d’accès à distance pour pirater les réseaux d’entreprise. Dans le cadre de cette tendance, Check Point a déclaré avoir « récemment été témoin de solutions VPN compromises, notamment chez divers fournisseurs de cybersécurité ».
Tout en surveillant les activités suspectes liées au VPN contre ses clients, la société “a identifié un petit nombre de tentatives de connexion utilisant d’anciens comptes VPN locaux en s’appuyant sur une méthode d’authentification non recommandée par mot de passe uniquement”. Ces tentatives ont eu lieu au moins jusqu’au 24 mai.
“Nous avons constitué des équipes spéciales de professionnels de la réponse aux incidents, de la recherche, des services techniques et des produits qui ont exploré en profondeur ces tentatives ainsi que toute autre tentative potentielle connexe”, peut-on lire sur le blog. “En s’appuyant sur les notifications de ces clients et sur l’analyse de Check Point, les équipes ont trouvé en 24 heures quelques clients potentiels qui ont fait l’objet de tentatives similaires.”
L’entreprise a mis en garde contre l’authentification par mot de passe uniquement et a recommandé aux organisations de ne pas s’en servir pour se connecter à l’infrastructure réseau. De plus, Check Point a publié un correctif pour ses produits Security Gateway qui bloque les comptes locaux à l’aide de l’authentification par mot de passe. Cela empêcherait probablement les anciens comptes inutilisés d’être utilisés dans des attaques telles que celles décrites dans le billet de blog.
Dans une liste de mesures d’atténuation recommandées, Check Point a conseillé aux organisations d’identifier si elles disposent de comptes locaux et d’examiner la manière dont ils ont été utilisés, de désactiver les comptes locaux s’ils ne sont pas déjà utilisés et d’ajouter une authentification supplémentaire aux comptes avec une protection par mot de passe uniquement actuellement en vigueur. utiliser.
Le chef de cabinet de Check Point, Gil Messing, a déclaré à TechTarget Editorial dans un e-mail que le 24 mai, la société avait constaté trois tentatives de compromission sur des clients de Check Point et qu’après une analyse plus approfondie, “nous avons identifié ce que nous pensons être un schéma potentiellement récurrent (autour de le même numéro).”
“Bien qu’il n’y ait eu que quelques tentatives à l’échelle mondiale, il suffit de reconnaître une tendance et, plus important encore, un moyen simple de garantir son échec”, a déclaré Messing. Bien qu’il n’ait pas confirmé si les violations avaient réussi, Messing a déclaré qu’à ce stade, Check Point enquêtait sur les tentatives d’attaque et “travaillait en étroite collaboration avec des clients spécifiques pour répondre à leurs préoccupations”.
Interrogé sur ce qui a rendu cette série d’attaques remarquables étant donné la fréquence des attaques d’identité contre une mauvaise hygiène des mots de passe, Messing a déclaré que Check Point estimait que tout modèle, grand ou petit, méritait d’attirer l’attention.
“Pour nous, lorsque nous constatons une tendance claire (dans ce cas, essayer d’attaquer des comptes locaux avec une authentification par mot de passe uniquement) — même si elle est petite (et elle l’est) — et que nous savons que cela peut être évité assez facilement, c’est suffisamment pour que nous puissions partager la mise à jour et proposer des recommandations et des solutions automatisées à nos clients”, a-t-il déclaré.
Les cyberattaques à enjeux élevés impliquant des VPN sont malheureusement monnaie courante. Par exemple, CISA a révélé en mars avoir subi une violation via une vulnérabilité de contournement d’authentification affectant les contrôleurs d’accès réseau Ivanti Policy Secure et une faille d’injection de commandes affectant les VPN Ivanti Connect Secure. Dans le même temps, la Coalition des cyber-assureurs a déclaré dans un rapport le mois dernier que les réclamations d’assurance des utilisateurs de Cisco Adaptive Security Appliance, un produit qui inclut des fonctionnalités VPN, avaient augmenté en 2023. Le rapport de la Coalition a noté que les appareils de pointe du réseau tels que les VPN sont des cibles privilégiées pour une variété de acteurs de la menace.
Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.