צ'ק פוינט: האקרים מנסים לתקוף את כלי ה-VPN שלנו

האקרים מנסים החל מסוף השבוע האחרון לתקוף את כלי ה-VPN של צ'ק פוינט, שמאפשר גישה מרחוק – כך החברה הודתה בפוסט שפרסמה בבלוג שלה אתמול (ב').

צ'ק פוינט מאפשרת גישה מרחוק בכל מוצרי הפיירוול שלה, בין אם מדובר בגישה לרשת הארגונית בתצורה של מהלקוח לאתר (Client to site) ובין אם בפורטל SSL VPN לגישה דרך הרשת.

בענקית אבטחת המידע הישראלית אומרים כי מדובר בתקיפה של חשבונות ישנים. "ראינו בסוף השבוע ניסיונות תקיפה של VPN דרך שימוש בחשבונות מקומיים (Local accounts). הם מנסים להיכנס ל-VPN דרך חשבונות די ישנים, עם סיסמה בלבד וללא אמצעי זיהוי נוספים, כגון אימות דו שלבי". על פי צ'ק פוינט, בעקבות דיווחים מחברות מהתעשייה על פריצות ל-VPN, בהם כמה דיווחים שהיא קיבלה מלקוחות שלה, החברה הקימה צוות למעקב, שגילה את הניסיונות. "בחרנו להזהיר ארגונים מפני ניסיונות תקיפה שכאלה. הטיפול בהם פשוט מאוד, והם יכולים לעשות זאת לבד או באמצעות כלי שלנו שמאפשר את זה", ציינו.

בפוסט נכתב כי "להאקרים יש מוטיבציה לקבל גישה לארגונים באמצעות הגדרות גישה מרחוק, כדי שיוכלו לנסות לגלות נכסים ומשתמשים ארגוניים שרלוונטיים להם. הם מחפשים פגיעויות (במערכות הארגוניות – י"ה) כדי להגיע לנכסים המרכזיים של הארגון הקורבן".

על פי החברה, "אימות על ידי סיסמה בלבד נחשב למתודה לא מומלצת אם רוצים להבטיח אבטחה ברמה הגבוהה ביותר, ואנחנו ממליצים שלא להשתמש בו בכניסה לתשתיות רשת".

"כצעד מונע", ציינו בצק פוינט, "שחררנו פתרון, שמטפל בניסיונות הגישה מרחוק הלא מורשית הללו".

החברה מעודדת את הלקוחות לבדוק האם יש להם חשבונות מקומיים, האם השתמשו בהם ומי עשה זאת; לבטל את האפשרות להשתמש באותם חשבונות, בפרט אם בפועל לא משתמשים בהם; ואם כן רוצים להשתמש בהם – להוסיף שכבת אבטחה נוספת, על מנת להגביר את אבטחת מערכות ה-IT; וללקוחות החברה, לפרוס את הפתרון שהיא הוציאה ב-Gateways שלהם. "זה ימנע באופן אוטומטי גישה לא מורשית ל-VPN של הארגון על ידי שימוש בחשבונות מקומיים שמאמתים את זהות המשתמש באמצעות סיסמה בלבד", כתבה החברה בבלוג.

ההאקרים מגבירים את המתקפות על כלי VPN

כלי VPN נעשים יותר ויותר ליעד פופולרי להתקפות של שחקני איום. על פי דו"ח הסיכונים של זיסקיילר לשנה הנוכחית, הפגיעויות שההאקרים מצליחים לנצל בהצלחה הרבה ביותר בכלי VPN הם כופרות, נוזקות ומתקפות DDoS.

דיפן דסאי, מנהל אבטחת מידע בחברה, אמר כי "בשנה האחרונה, כמה פגיעויות קריטיות בכלי VPN שימשו כנקודות פריצה מוצלחות למתקפות על ארגונים גדולים וגופים פדרליים (בארצות הברית – י"ה). חיוני שארגונים יעברו לארכיטקטורה של אמון אפס, שמורידה באופן בולט את סביבת האיומים על ידי כך שהיא 'מחסלת' טכנולוגיו לגאסי כגון כלי VPN ופיירוולים, מחייבת שליטה מתמדת על אבטחת מידע עם TLS inspection ומגבילה את אפשרויות הפריצה".

צ'ק פוינט היא החברה השנייה שספגה בחודשים האחרונים ניסיונות תקפה על כלי ה-VPN שלה. הראשונה הייתה סיסקו, שדיווחה בחודש שעבר על כך שמתקפות נפוצות של "דחיפות אישורים" מכוונות לשירותי ה-VPN וה-SSN במוצרים שלה, כמו גם של צ'ק פוינט, סוניק וול, פורטינט ויוביקווייטי. הקמפיין ההוא החל באמצע מרץ האחרון, והשתמש במגוון כלי אנונימיזציה ובפרוקסיז כדי להתגבר על מחסומים.

בהודעתה ציינה סיסקו כי חלה "עלייה גלובלית" בהיקף המתקפות מסוג Brute-force ("מתקפות כוח גס"), המכוונות לשירותי ה-VPN שלה ושל ספקיות אחרות, אל ממשקי אימות אפליקציות ושירותי SSH. מתקפות מסוג Brute-force נסמכות על ניסיונות חוזרים ורבים, שמטרתם לפצח קוד, מפתח או סיסמה – וכך להשיג גישה לא מורשית לחשבונות, למערכות או לרשתות.