Шлюзы Palo Alto Networks сталкиваются с огромным количеством возможных кибератак

В марте 2025 года GreyNoise зафиксировала резкий всплеск сканирования. Тысячи IP-адресов сканировали порталы GlobalProtect PAN-OS. По словам исследователей, такая активность обычно предшествует кибератаке.

Безопасность Palo Alto Network может быть под угрозой, предупреждают исследователи безопасности после обнаружения роста активности. Аналитики GreyNoise заявили, что наблюдали «значительный всплеск» активности сканирования для входа в порталы PAN-OS GlobalProtect компании. В марте 2025 года почти 24 000 уникальных IP-адресов пытались получить доступ к этим порталам.

«Эта модель предполагает скоординированные усилия по проверке сетевой защиты и выявлению уязвимых систем, что может быть предшественником целевого использования», - говорится в статье. Это также может означать, что кто-то нашел нулевую брешь в этих конечных точках и сейчас пытается выяснить, сколько конечных точек он может скомпрометировать через нее.

«За последние 18–24 месяца мы наблюдали постоянную тенденцию целенаправленной атаки на старые уязвимости или хорошо отработанные попытки атаки и разведки против определенных технологий», - сказал Боб Рудис (Bob Rudis), вице-президент по Data Science в GreyNoise. «Эти модели часто совпадают с появлением новых уязвимостей через 2–4 недели».

Для GreyNoise это, несомненно, вредоносная кампания. Из 24 000 уникальных IP-адресов, которые сканировали устройства Palo Alto Networks, 154 были помечены как «злонамеренные» за пределами разумных сомнений, а остальные были классифицированы как «подозрительные» в прошлом.

Их местонахождение в основном в Северной Америке, по всей территории США и Канады. Большинство целей также базируется в США. GreyNoise говорит, что эта активность может быть связана с отдельными тегами PAN-OS, связанными с разведкой, такими как PAN-OS Crawler, где они наблюдали одиночный всплеск 26 марта 2025 года с участием 2580 уникальных исходных IP.

Очевидно, конечная цель в настоящее время неизвестна, но рекомендуется быть бдительным. Командам IT следует просмотреть свои журналы с середины марта, чтобы выяснить, были ли они атакованы, и быть настороже относительно признаков компрометации. Также следует укрепить свои порталы входа и блокировать известные вредоносные IP-адреса.