Istraživači su otkrili alarmantan porast aktivnosti malicioznog skeniranja usmjerenih na GlobalProtect VPN portale Palo Alto Networks .
Tokom perioda od 30 dana, skoro 24.000 jedinstvenih IP adresa pokušalo je da pristupi ovim kritičnim bezbjednosnim gateway-ima, što sugeriše koordinisani napor da se ispita odbrana mreže i identifikuju ranjivi sistemi.
Kampanja je počela 17. marta 2025. godine, a aktivnost je brzo eskalirala na otprilike 20.000 jedinstvenih IP adresa dnevno prije nego što je prestala nakon 26. marta.
Nalet sumnjivih aktivnosti usmjerenih na PAN-OS uređaje
GreyNoise je većinu izvora (23.800 IP adresa) klasifikovao kao sumnjive, sa 154 IP adrese koje su definitivno označene kao maliciozne.
“Tokom proteklih 18 do 24 mjeseca, primijetili smo dosljedan obrazac namjernog ciljanja starijih ranjivosti ili istrošenih pokušaja napada i izviđanja na određene tehnologije,” objasnio je Bob Rudis, potpredsjednik Data Science u GreyNoiseu.
“Ovi obrasci se često poklapaju s novim ranjivostima koje se pojavljuju 2 do 4 sedmice kasnije.”
Ovaj porast skeniranja izaziva značajnu zabrinutost nakon otkrića CVE-2024-3400 prošle godine, kritične ranjivosti ubrizgavanja komandi u PAN-OS GlobalProtect koja je omogućila neovlaštenim napadačima da izvrše proizvoljni kod sa root privilegijama na pogođenim zaštitnim zidovima.
Ranjivost je dobila maksimalnu CVSS ocjenu od 10,0, naglašavajući njenu ozbiljnost.
Kroz tehničku analizu, istraživači su identifikovali tri različita JA4h mrežna heša otiska prsta povezana sa alatom za skener za prijavu:
- po11nn11enus_967778c7bec7_0000000000000_000000000000
- po11nn09enus_fb8b2e7e6287_000000000000_000000000000
- po11nn060000_c4f66731b00d_000000000000_000000000000
Ovi otisci prstiju omogućavaju timovima za sigurnost da identifikuju i povežu odvojene pokušaje prijave koji potiču iz istog alata, čak i kada napadači mijenjaju svoje izvorne IP adrese.
Geografski, skeniranje je poteklo pretežno iz Sjedinjenih Država (16.249 IP-a) i Kanade (5.823 IP-a), s dodatnim izvorima u Finskoj, Holandiji i Rusiji. Ogromna većina ciljanih sistema u Sjedinjenim Državama (23.768 IP-ova).
Značajan dio prometa (20.010 IP-ova) povezan je s infrastrukturom povezanom s 3xK Tech GmbH pod ASN200373, uz dodatne doprinose PureVoltage Hosting Inc., Fast Servers Pty Ltd. i Oy Crea Nova Hosting Solution Ltd.
Čini se da je ova aktivnost povezana sa drugim izviđačkim naporima PAN-OS-a, sa porastom saobraćaja „PAN-OS Crawler“ koji je uočen 26. marta koji uključuje 2.580 jedinstvenih izvornih IP-ova.
Stručnjaci za sigurnost primijetili su sličnosti sa kampanjom špijunaže iz 2024. koja je ciljala perimetarske mrežne uređaje .
Organizacije koje koriste Palo Alto Networks proizvode trebale bi odmah da pregledaju svoje martovske zapise, implementiraju poboljšani nadzor, sprovedu temeljit lov na prijetnje, osiguraju primjenu svih sigurnosnih zakrpa i razmotre blokiranje identifikovanih zlonamjernih IP adresa.
Izvor: CyberSecurityNews
