Siber güvenlik şirketi Geynoise, son 30 gün içinde internete dönük Palo Alto Networks’i hedefleyen tarama etkinliğinin önemli bir artışı konusunda uyarıyor ve maruz kalan sistemleri olan kuruluşları bunları güvence altına almaya ve uzlaşma belirtileri aramaya çağırdı.
Şirket, “Bu etkinliğin tutarlılığı, ağ savunmalarını test etmek için planlanmış bir yaklaşım öneriyor ve potansiyel olarak sömürünün yolunu açıyor” dedi.
“Grinnoise tarafından gözlemlenen son kalıplar, bu aktivitenin yakın gelecekte yeni güvenlik açıklarının ortaya çıkmasına işaret edebileceğini düşündürmektedir.”
Daha büyük resim
Palo Alto Networks GlobalProtect Portalı, işletmeler için GlobalProtect VPN çözümünün temel bir parçasıdır. Genellikle bir Palo Alto Güvenlik Duvarı’nın arkasında bulunan bir sunucudur ve uzaktan kullanıcılar, kurumsal ağa güvenli bir tünel oluşturacak bir GlobalProtect ağ geçidine doğrulama yapar ve yapılandırmayı alır.
Grinnoise, gözlemledikleri üç benzersiz dijital “parmak izi” (JA4H karma) kullanarak birden fazla giriş denemesini aynı giriş tarayıcı aracına geri bağladı.
Gözlenen tarama etkinliğinin çoğu, yaklaşık 24.000 benzersiz IP adresinden 17 Mart ve 26 Mart 2025 arasında gerçekleşti. Amerika Birleşik Devletleri’nde değil, aynı zamanda İngiltere, İrlanda, Rusya ve Singapur’da ezici hedeflenen sistemler.
Şirket, “Gözlenen aktivitenin çoğu şüpheli (23.800 IP) olarak sınıflandırılıyor, daha küçük bir alt kümenin kötü niyetli (154 IP) olarak işaretlenmesi” dedi.
26 Mart’ta, potansiyel olarak komuta enjeksiyonuna karşı savunmasız olabilecek globalprotect sistemi bileşenlerini tespit etmeyi amaçlayan paletli etkinlikte kısa ömürlü bir artış fark ettiler.
Geynoise, “Bu etkinliğin olağandışı doğası göz önüne alındığında, maruz kalan Palo Alto Networks sistemleri olan kuruluşlar yürüyüş günlüklerini gözden geçirmeli ve herhangi bir uzlaşma belirtisi belirlemek için çalışan sistemlerde ayrıntılı bir tehdit avı yapmayı düşünmelidir” dedi.