Check Point Software Technologies vient d’alerter de tentatives d’attaques contre ses VPN en ciblant les comptes qui utilisent le mot de passe comme seul moyen d’authentification.
L’avertissement a été publié lundi dans un billet de blog, invitant les lecteurs à améliorer leurs mesures de sécurité VPN. Check Point a déclaré avoir constaté une augmentation du nombre d’acteurs malveillants qui utilisent des environnements VPN d’accès à distance pour pénétrer dans les réseaux d’entreprise. Dans le cadre de cette tendance, Check Point a déclaré avoir « récemment été témoin de solutions VPN compromises, y compris de divers fournisseurs de cybersécurité ».
En surveillant les activités suspectes de ses clients liées au VPN, la société a « identifié un petit nombre de tentatives de connexion à l’aide d’anciens comptes locaux VPN reposant sur une méthode d’authentification non recommandée, par mot de passe uniquement ». Ces tentatives ont eu lieu au moins jusqu’au 24 mai.
« Nous avons réuni des équipes spéciales de professionnels de la réponse aux incidents, de la recherche, des services techniques et des produits, qui ont étudié en profondeur ces tentatives et toutes les autres tentatives potentielles connexes », peut-on lire sur le blog. « En se basant sur les notifications de ces clients et sur l’analyse de Check Point, les équipes ont trouvé dans les 24 heures quelques clients potentiels qui ont fait l’objet de tentatives similaires ».
La société met en garde contre l’authentification par mot de passe seul et recommande aux organisations de ne pas s’en servir pour se connecter à l’infrastructure du réseau. En outre, Check Point a publié un correctif pour ses produits Security Gateway qui bloque les comptes locaux utilisant l’authentification par mot de passe. Cela devrait empêcher les anciens comptes inutilisés d’être détournés dans des attaques telles que celles décrites dans le billet de blog.
« Bien qu’il n’y ait eu que quelques tentatives au niveau mondial, c’est suffisant pour reconnaître une tendance et, plus important encore, un moyen simple de s’assurer qu’elles n’aboutissent pas. » Gil MessingChef d’équipe, Check Point
Dans une liste de mesures d’atténuation recommandées, Check Point conseille aux organisations d’identifier si elles disposent de comptes locaux et d’examiner la manière dont ils ont été utilisés, de désactiver les comptes locaux s’ils ne sont pas déjà utilisés, et d’ajouter une authentification supplémentaire aux comptes dont la protection par mot de passe seul est actuellement utilisée.
Gil Messing, chef du personnel de Check Point, a déclaré par courriel à TechTarget Editorial qu’en date du 24 mai, la société avait constaté trois tentatives de compromission de ses clients et qu’après une analyse plus approfondie, « nous avons identifié ce que nous pensons être un schéma potentiellement récurrent (autour du même nombre) ».
« Bien qu’il n’y ait eu que quelques tentatives au niveau mondial, c’est suffisant pour reconnaître une tendance et, plus important encore, un moyen simple de s’assurer qu’elles n’aboutissent pas », a déclaré Gil Messing. Bien qu’il n’ait pas confirmé si des intrusions avaient réussi, il a déclaré qu’à ce stade, Check Point enquêtait sur les tentatives d’attaque et « travaillait en étroite collaboration avec des clients spécifiques pour répondre à leurs préoccupations éventuelles ».
Interrogé sur ce qui rendait cette série d’attaques digne d’intérêt, compte tenu de la fréquence des attaques d’identité liées à une mauvaise hygiène des mots de passe, Gil Messing a déclaré que Check Point estimait que toute tendance, quelle qu’elle soit, méritait d’être signalée : « pour nous, lorsque nous voyons un schéma clair (dans ce cas, essayer d’attaquer des comptes locaux avec une authentification par mot de passe seul) – même s’il est petit (et il l’est) – et que nous savons qu’il peut être évité assez facilement, cela suffit pour que nous partagions la mise à jour et proposions des recommandations et des solutions automatisées à nos clients ».