Check Point เปิดเผยการค้นพบกลุ่ม Hacker กำลังกำหนดเป้าหมายไปยังอุปกรณ์ VPN ของ Check Point เพื่อพยายามเข้าถึงเครือข่ายจากระยะไกล
ทั้งนี้การเข้าถึงจากระยะไกลผ่าน VPN ของ Check Point สามารถทำได้ 2 วิธีคือ client-to-site VPN สำหรับการเข้าถึงเครือข่ายองค์กรผ่าน VPN client หรือการเข้าถึงเครือข่ายองค์กรผ่าน SSL VPN Portal จาก web-based
โดย Check Point พบว่ากลุ่ม Hacker ได้มุ่งเป้าโจมตีไปยัง local account ที่มีการตั้งค่าการยืนยันตัวตนที่ไม่ปลอดภัย (password-only) เพื่อป้องกันการโจมตีดังกล่าว Check Point ได้แนะนำให้ผู้ดูแลระบบตรวจสอบ local account ที่มีความเสี่ยงในลักษณะดังกล่าวใน Quantum Security Gateway และ CloudGuard Network Security product และบน Mobile Access และ Remote Access VPN software blade แล้วทำการเปลี่ยนวิธีการยืนยันตัวตนให้ปลอดภัยยิ่งขึ้น รวมถึงลบ local account ที่มีความเสี่ยงออกจาก Security Management Server database
นอกจากนี้ Check Point ยังได้ออก Security Gateway hotfix ที่จะบล็อก local account ทั้งหมดที่มีการยืนยันตัวตนแบบ password-only และจะไม่สามารถทำการ VPN เพื่อเข้าถึงเครือข่ายจากระยะไกลได้
Cisco VPN ก็ตกเป็นเป้าหมายการโจมตีด้วยเช่นกัน
ทั้งนี้ Check Point เป็นบริษัทที่สองต่อจาก Cisco ที่ได้ทำการแก้ไขช่องโหว่บน VPN หลังจากที่พบกลุ่ม Hacker มุ่งเป้าหมายในการโจมตีช่องโหว่ดังกล่าว
ในเดือนเมษายน 2024 Cisco ได้แจ้งเตือนพบการโจมตีแบบ brute-force โดยกำหนดเป้าหมายไปยัง VPN และ SSH service บนอุปกรณ์ Cisco, Check Point, SonicWall, Fortinet และ Ubiquiti ซึ่งแคมเปญการโจมตีดังกล่าว ได้เริ่มต้นตั้งแต่วันที่ 18 มีนาคม 2024 โดยมีการโจมตีที่มาจาก TOR exit node และใช้เครื่องมือต่าง ๆ รวมถึง proxy เพื่อหลีกเลี่ยงการตรวจจับ
Aaron Martin นักวิจัยด้านความปลอดภัย ได้เชื่อมโยงแคมเปญการโจมตีกับ botnet ที่พึงถูกค้นพบชื่อว่า "Brutus" ซึ่งควบคุม IP addresses กว่า 20,000 รายการใน cloud service และ residential network
นอกจากนี้ Cisco ยังได้เปิดเผยข้อมูลว่ากลุ่ม Hacker ที่ได้รับการสนันสนุนจากรัฐบาลในชื่อ UAT4356 (หรือที่เรียกว่า STORM-1849) ได้ใช้ช่องโหว่ Zero-day ในไฟร์วอลล์ Cisco Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD) เพื่อโจมตีเครือข่ายของรัฐบาลทั่วโลกมาตั้งแต่เดือนพฤศจิกายน 2023 ในแคมเปญการโจมตีที่ถูกติดตามในชื่อ ArcaneDoor
ที่มา : bleepingcomputer