체크포인트는 최근 자사의 원격 액세스 VPN 장치에 대한 타깃 공격이 진행 중임을 알리며 고객들에게 주의를 당부했다.

이번 공격은 오래된 로컬 계정과 비밀번호만으로 인증하는 방식의 취약점을 노리고 있다. 이러한 계정은 추가적인 인증서 인증과 함께 사용해야 비인가 접근을 방지할 수 있다.

체크포인트는 고객 VPN에 대한 무단 접근 시도를 모니터링한 결과, 5월 24일까지 단순한 비밀번호만으로 인증하는 옛 VPN 로컬 계정을 이용한 소수의 로그인 시도가 발견되었다고 밝혔다. 이러한 시도는 전 세계적으로 몇 차례 발생했으나, 이를 통해 트렌드를 파악하고 간단한 조치로 막을 수 있다고 설명했다.

체크포인트는 고객들에게 Quantum Security Gateway와 CloudGuard Network Security 제품, Mobile Access 및 Remote Access VPN 소프트웨어 블레이드를 점검하여 취약한 계정을 확인할 것을 권고했다. 또 사용자 인증 방법을 더 안전한 옵션으로 변경하거나, 보안 관리 서버 데이터베이스에서 취약한 로컬 계정을 삭제할 것을 제안했다.

체크포인트는 또한 비밀번호만으로 인증하는 모든 로컬 계정을 차단하는 보안 게이트웨이 핫픽스를 출시했다. 이 핫픽스를 설치하면 약한 비밀번호만으로 인증하는 로컬 계정이 원격 액세스 VPN에 로그인하는 것이 차단된다.

고객들은 체크포인트의 지원 문서에서 VPN 보안을 개선하고 무단 접근 시도에 대응하는 방법에 대한 자세한 지침을 확인할 수 있다.

체크포인트 외에도 시스코는 다양한 장치의 VPN 및 SSH 서비스에 대한 자격 증명 무차별 공격이 확산되고 있다고 경고했다. 이러한 공격은 3월 18일경부터 시작되었으며, 토르와 기타 익명화 도구를 사용해 탐지를 회피하고 있다.

지난 4월, 시스코는 원격 액세스 VPN 서비스를 실행하는 시큐어 방화벽 장치를 겨냥한 비밀번호 스프레이 공격에 대해 경고했다.

더욱이 시스코는 국가 지원 해킹 그룹 UAT4356 (aka STORM-1849)이 2023년 11월부터 ArcaneDoor로 명명된 사이버 첩보 캠페인에서 시스코의 Adaptive Security Appliance(ASA) 및 Firepower Threat Defense(FTD) 방화벽의 제로데이 취약점을 이용하고 있다고 밝혔다.

체크포인트의 권고 사항 및 대응 조치에 대한 자세한 정보는 체크포인트의 지원 페이지에서 확인할 수 있다.