Update, 30/05, 9u37, Laura Herijgers: Hackers breken al zeker sinds 30 april binnen op de Remote Access VPN-technologie van Check Point. Via die weg stelen ze Active Directory-data.
Dit stelt het cybersecuritybedrijf mnemonic vast op basis van klantenrapporten. “Het is bekend dat wachtwoord-hashes van legacy lokale gebruikers die alleen wachtwoord-authenticatie inzetten, kunnen worden gestolen, inclusief serviceaccounts die worden gebruikt om verbinding te maken met Active Directory. Zwakke wachtwoorden kunnen worden gecompromitteerd, wat leidt tot verder misbruik en mogelijke laterale beweging binnen het netwerk.”
Origineel, 28/05, 15u17, Floris Hulshoff Pol: De Remote Access VPN-technologie die Check Point integreert in al zijn netwerkfirewalls ligt onder vuur van cybercriminelen. De security gateways worden hierbij bestookt met inbraakpogingen met behulp van oude, onveilige wachtwoord-only authenticatie.
In een alert maakt Check Point details bekend. De VPN-technologie kan worden geconfigureerd als een client-to-site VPN-verbinding en biedt veilige toegang tot bedrijfsnetwerken via VPN-clients. Ook kan hierdoor een veilige verbinding worden opgezet als een SSL VPN Portal voor toegang via het (publieke) internet.
Via het proberen in te loggen met oude lokale accounts die alleen onveilige wachtwoord-only-authenticatie gebruiken, proberen de cybercriminelen echter de achterliggende netwerken binnen te dringen. Normaal moet deze vorm van authenticatie worden gecombineerd met een certificaat om systeeminbreuken te voorkomen.
Het betreft een drietal inbreukpogingen die recent ontdekt zin, met eenzelfde patroon. In ieder geval bleken deze pogingen genoeg om een analyse te kunnen uitvoeren en de oorzaak te bepalen.
Advies Check Point
Check Point adviseert gebruikers van zijn netwerkfirewalls hun systemen goed te controleren op het bestaan van dergelijke oude lokale accounts die mogelijk kunnen worden misbruikt. Het gaat om de Check Point Quantum Security Gateway en CloudGuard Network Security-oplossingen en de Mobile Access and Remote Access VPN-software blades.
Daarnaast wordt geadviseerd de gebruikersauthenticatieprotocollen om te zetten naar veiligere opties of kwetsbare lokale accounts te verwijderen uit de eigen Security Management Server-database.
Verder is ook nog een hotfix uitgebracht die alle lokale accounts blokkeert om alleen met een wachtwoord in te loggen. Na de installatie van deze fix is het voor lokale accounts die alleen een zwakke wachtwoord-only-authenticatie hebben niet meer mogelijk om in te loggen in de Remote Access VPN-feature.
Ook andere VPN-omgevingen belaagd
De VPN-technologie van Check Point is niet de enige die onder vuur van hackers ligt. Eerder constateerde ook Cisco dat VPN-devices doelwit zijn van hackpogingen.
Daarnaast worden ook VPN- en SSH-diensten en -devices van leveranciers zoals SonicWall, Fortinet en Ubiquiti belaagd met brute force-aanvallen voor het stelen van inloggegevens.
Lees ook: Cisco waarschuwt voor brute-force-aanvallen op VPN- en SSH-toepassingen