Araştırmacılar, Palo Alto Networks’ün GlobalProtect VPN portallarını hedefleyen kötü amaçlı tarama etkinliğinde endişe verici bir artış tespit ettiler.
30 günlük bir süre boyunca, yaklaşık 24.000 benzersiz IP adresi bu kritik güvenlik ağ geçitlerine erişmeye çalıştı ve ağ savunmalarını araştırmak ve savunmasız sistemleri tanımlamak için koordineli bir çaba gösterdi.
Kampanya 17 Mart 2025’te başladı ve etkinlik 26 Mart’tan sonra artmadan önce günde yaklaşık 20.000 benzersiz IP’ye yükseldi.
PAN-OS cihazlarını hedefleyen şüpheli aktivitede artış
Greynoise, çoğu kaynağı (23.800 IP) şüpheli olarak sınıflandırmıştır ve 154 IP adresi kesin olarak kötü niyetli olarak etiketlenmiştir.
Greynoise Veri Bilimi Başkan Yardımcısı Bob Rudis, “Son 18 ila 24 ay boyunca, eski güvenlik açıklarının veya belirli teknolojilere karşı iyi giyilen saldırı ve keşif girişimlerinin kasıtlı olarak hedeflenmesinin tutarlı bir modelini gözlemledik” dedi.
“Bu kalıplar genellikle 2 ila 4 hafta sonra ortaya çıkan yeni güvenlik açıklarıyla çakışıyor.”
Bu tarama dalgalanması, geçen yıl CVE-2024-3400’ün keşfinden sonra önemli endişeler doğuruyor, PAN-OS GlobalProtect’te, kimlik doğrulanmamış saldırganların etkilenen güvenlik duvarlarında kök ayrıcalıkları olan keyfi kod yürütmesine izin veren kritik bir komut enjeksiyon kırılganlığı.
Güvenlik açığı, şiddetini vurgulayarak 10.0 maksimum CVSS puanı aldı.
Teknik analiz yoluyla araştırmacılar, oturum açıcı aracına bağlı üç farklı JA4H ağ parmak izi karması belirlediler:
- Po11nnnnus_967778c7bec7_0000000000000000000000000000
- po11n09enus_fb8b2e7e6287_000000000000_000000000000
- PO11N060000_C4F66731B00D_000000000000_000000000000
Bu parmak izleri, güvenlik ekiplerinin, saldırganların kaynak IP’lerini değiştirse bile, aynı araç setinden kaynaklanan ayrı giriş girişimlerini tanımlamasını ve ilişkilendirmesini sağlar.
Coğrafi olarak, tarama ağırlıklı olarak ABD (16.249 IPS) ve Kanada’dan (5.823 IP), Finlandiya, Hollanda ve Rusya’da ek kaynaklarla ortaya çıktı. Amerika Birleşik Devletleri’ndeki büyük çoğunluk hedeflenen sistemler (23.768 IP).
Trafiğin (20.010 IPS) önemli bir kısmı, Purevoltage Hosting Inc., Fast Servers Pty Ltd. ve OY Crea Nova Hosting Solution Ltd.
Etkinlik, 26 Mart’ta 2.580 benzersiz kaynak IP’leri içeren “PAN-OS paletli” trafiğinde bir artışla diğer PAN-OS keşif çabalarına bağlı görünmektedir.
Güvenlik uzmanları, çevre ağı cihazlarını hedefleyen 2024 casusluk kampanyasına benzerlikler kaydetti.
Palo Alto Networks ürünlerini kullanan kuruluşlar, yürüyüş günlüklerini derhal gözden geçirmeli, gelişmiş izleme uygulamalı, kapsamlı tehdit avı yapmalı, tüm güvenlik yamalarının uygulandığından emin olmalı ve tanımlanmış kötü niyetli IP’leri engellemeyi düşünmelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free