Şirket Pazartesi günü yaptığı açıklamada, saldırganların yalnızca şifrelerle korunan yerel hesaplar aracılığıyla Check Point VPN cihazlarına erişmeye çalıştıkları konusunda uyardı.
Nihai hedefleri, bu erişimi diğer kurumsal varlıkları ve kullanıcıları keşfetmek ve bunlara yönlendirmek için kullanmak ve kurumsal ortamlarda kalıcılık kazanmaktır.
VPN ve diğer hizmetlere yönelik saldırılar
Nisan 2024’ün ortalarında Cisco Talos uyardı VPN hizmetlerine, web uygulaması kimlik doğrulama arayüzlerine ve SSH hizmetlerine yönelik kaba kuvvet saldırılarında küresel bir artış hakkında.
Bu saldırılarda hedeflenen cihazlar Cisco, Check Point, Fortinet ve Sonicwall’un (VPN’ler) yanı sıra MiktroTik, Draytek ve Ubiquiti’nin cihazlarıydı.
Denemeler proxy hizmetleriyle ilişkili IP adreslerinden geliyordu ve “Passw0rd”, “qwerty”, “test123” vb. gibi büyük olasılıkla kullanıcı adı ve ortak şifrelerin kombinasyonlarını deniyordu.
Kullanılan kullanıcı adları birkaç kategoriden birine girer:
- az adın baş harfleri + yaygın soyadlar, örneğin “cwilliams”, “jgarcia”, “msmith”
- “Mary”, “brian”, “leon” “admin”, “yönetici”, “ahmet. gibi yaygın isimler.
- Rol/hizmetle ilgili kelimeler: “test.user”, “superadmin”, “cloud”, “ftpadmin”, “backupuser”, “vpn” vb.
Ayrıca yakın zamanda çeşitli siber güvenlik satıcılarının sunduğu çözümler de dahil olmak üzere güvenliği ihlal edilmiş VPN çözümlerine tanık olduklarını söyledi.
“Bu olayların ışığında, Check Point müşterilerinin VPN’lerine yetkisiz erişim sağlama girişimlerini izliyoruz. 24 Mayıs 2024 itibarıyla, önerilmeyen yalnızca şifre kimlik doğrulama yöntemine dayanan, eski VPN yerel hesaplarını kullanan az sayıda oturum açma girişimi tespit ettik.”
Saldırı önleme
Buradaki iyi haber şu ki, bu saldırılar aşağıdaki yöntemlerle kolaylıkla engellenebilir:
- Yerel hesapları devre dışı bırakma (kullanılmıyorlarsa)
- Başka bir kimlik doğrulama katmanı eklemek (örneğin, sertifikalar) veya
- Bu, dahili kullanıcıların tek kimlik doğrulama faktörü olarak parolayla Uzaktan Erişim VPN’inde oturum açmasını engeller.
Check Point, “Yalnızca şifreyle kimlik doğrulama, en yüksek düzeyde güvenliği sağlamak açısından sakıncalı bir yöntem olarak değerlendiriliyor ve ağ altyapısına giriş yaparken buna güvenmemenizi öneriyoruz” dedi ve teklifte bulundu.
0 Yorumlar