Araştırmacılar, Palo Alto Networks’ün PAN-OS GlobalProtect portallarını, esas olarak ABD’de bulunan PAN-OS GlobalProtect portallarını hedefleyen son zamanlarda artış, araştırmacılar, eşleştirilmemiş veya sıfır günlük güvenlik açıklarının büyük ölçekli bir şekilde kullanılmasının öncüsü olabilir.
Tehdit faaliyeti, maruz kalan savunucular anlamına gelir Palo Alto Networks VPN sistemleri Mart 2025 günlüklerini gözden geçirmeli ve uzlaşma belirtilerini tespit etmek için ayrıntılı tehdit avı yapmayı düşünmelidir.
Son 30 gün içinde, bu hafta güvenlik istihbarat firması Greynoise’den yayınlanan bir rapora göre, son 30 gün içinde yaklaşık 24.000 benzersiz IP adresi, bu portallara erişmeye çalıştı, bu da kusurların hedefli kötüye kullanılması için maruz kalan veya savunmasız sistemleri tanımlamak için koordineli bir çaba önerdi.
Bir uygulama güvenlik çözümleri sağlayıcısı Black Duck kıdemli güvenlik mühendisi Boris Cipot, “Tüm yazılımlar güvenlik açıklarına eğilimli olabilir ve olacaktır ve saldırganlar her zaman bilinen güvenlik açıklarına sahip hedefler bulmakla ilgileneceklerdir.” Dedi.
Gerçekten de, araştırmacılar, rapora göre, daha küçük bir alt kümeyi, 154 IPS’yi açıkça kötü niyetli olarak işaretlerken, aktivitenin bir büyüklüğünü veya 23.800 IPS’yi “şüpheli” olarak sınıflandırdılar. Trafik ağırlıklı olarak ABD’den (16.249 IP) ve ardından Kanada’dan (5.823 IP) ortaya çıktı. Taramaların diğer kaynakları bu sırayla Finlandiya, Hollanda ve Rusya’dan geldi.
ABD’deki sistemler en çok taranan sistemlerdi ve 23.768 portal etkilendi. Diğer hedefler İngiltere, İrlanda, Rusya ve Singapur’da bulunuyordu.
Surge kütle sömürüsünü taşır
Etkinlik artışı 17 Mart’ta başladı ve günde yaklaşık 20.000 benzersiz IP’ye zirveye çıktı, bu da 26 Mart’a kadar dönmeye başladığında sürekli bir desen. Grinnoise’e göre, bu tür bir tutarlılık, ağ savunmalarını kitlesel sömürü öncesinde test etmek için hesaplanmış bir yaklaşım önermektedir.
Geynoise veri bilimi başkan yardımcısı Bob Rudis yaptığı açıklamada, “Bu kalıplar genellikle iki ila dört hafta sonra ortaya çıkan yeni güvenlik açıklarıyla çakışıyor.” Dedi. Gerçekten de, etkinlik artışı, Geynoise’e göre, Cisco Talos tarafından bildirilen çevre ağı cihazlarını hedefleyen 2024 casusluk kampanyasını andırıyor.
Genel olarak, faaliyet, “, herhangi bir güvenlik kırılganlığı kapatmak için uygun hale geldikleri anda” yamaları uygulamak için gerekli temel eylemleri “ihmal ederek güvenlik işaretini eksik olan kuruluşları açığa çıkararak üst el kazanmaya çalışan saldırganları gösteriyor.
BENf kuruluşlar henüz yapmadılar, yazılımlarının en son yükseltmelerle güncel olmasını sağlamalı ve herhangi bir sömürüden etkilenmekten kaçınmak için temel güvenlik hijyeninin bir parçası olması gereken başka adımlar atmalıdırlar.
Bu eylemler arasında yönetim arayüzlerine erişimin güvenilir dahili adreslere kısıtlanması; şüpheli eylemler bulmak için sistem ve etkinlik günlüklerini gözden geçirmek için izleme araçlarını kullanmak; denetim yoluyla sistemleri ve durumlarını düzenli olarak kontrol etmek; Ve yazılım kompozisyonu ve analiz araçları kullanarak, dedi Cipot.
API Güvenlik Sağlayıcısı Salt Security siber güvenlik stratejisi direktörü Eric Schwake, e -posta yoluyla ağlarını “dokunulmaz olmayan” çevre savunmalarının ötesine güvence altına almalıdır.
“Sonuç olarak, kuruluşlar geleneksel çevre kontrollerinin ötesine geçen çok katmanlı bir güvenlik stratejisi benimsemelidir.” Dedi. “Bu, API trafiğinin yakından izlenmesi anlamına gelir, çünkü bu ağ geçitleri genellikle API’leri yönetim ve kimlik doğrulama için ortaya çıkarır.”