Otomatik bir kampanya birden fazla VPN platformunu hedefliyor ve Palo Alto Networks GlobalProtect ve Cisco SSL VPN’de kimlik bilgilerine dayalı saldırılar gözlemleniyor.
11 Aralık’ta tehdit izleme platformu GreyNoise, GlobalProtect portallarına yönelik giriş denemelerinin sayısının 16 saatlik bir süre içinde 1,7 milyona ulaştığını gözlemledi.
Toplanan veriler, saldırıların 10.000’den fazla benzersiz IP adresinden kaynaklandığını ve ABD, Meksika ve Pakistan’da bulunan altyapıyı hedef aldığını gösterdi.
Kötü amaçlı trafiğin neredeyse tamamı 3xK GmbH (Almanya) IP alanından kaynaklandı ve bu da merkezi bir bulut altyapısına işaret ediyor.
Araştırmacıların gözlemlerine göre, tehdit aktörü ortak kullanıcı adı ve şifre kombinasyonlarını yeniden kullandı ve isteklerin çoğu, bu sağlayıcı aracılığıyla otomatik oturum açma etkinliklerinde alışılmadık bir durum olan Firefox kullanıcı aracısından geliyordu.
GreyNoise, “Kullanıcı aracısının, istek yapısının ve zamanlamasının tutarlılığı, etkileşimli erişim girişimleri veya güvenlik açığından yararlanma girişimleri yerine, açığa çıkan veya zayıf şekilde korunan GlobalProtect portallarını tanımlamak için tasarlanmış komut dosyasıyla yazılmış kimlik bilgisi incelemesini önerir” diye açıklıyor.
“Bu etkinlik, kurumsal VPN kimlik doğrulama uç noktalarına yönelik devam eden baskıyı yansıtıyor; GreyNoise’ın saldırgan etkinliğinin arttığı dönemlerde tekrar tekrar gözlemlediği bir model.”
Kaynak: GreyNoise
12 Aralık’ta, aynı TCP parmak izini kullanan aynı barındırma sağlayıcısından kaynaklanan etkinlik, Cisco SSL VPN uç noktalarını araştırmaya başladı.
GreyNoise monitörleri, benzersiz saldırı IP’lerinde 200’ün altındaki normal taban çizgisinden 1.273’e bir sıçrama kaydetti.
Etkinlik, son 12 hafta içinde Cisco SSL VPN’lerine karşı 3xK tarafından barındırılan IP’lerin ilk büyük ölçekli kullanımını oluşturuyor.
Bu durumda da oturum açma verileri, CSRF yönetimi de dahil olmak üzere normal SSL VPN kimlik doğrulama akışlarını takip ederek, açıklardan yararlanma yerine otomatik kimlik bilgisi saldırılarına işaret etti.
Kaynak: GreyNoise
Dün Cisco, müşterilerini, Cisco AsyncOS’ta Güvenli E-posta Ağ Geçidi (SEG) ve Güvenli E-posta ve Web Yöneticisi (SEWM) cihazlarını hedef alan saldırılarda aktif olarak yararlanılan maksimum önem derecesine sahip sıfır gün güvenlik açığı (CVE-2025-20393) konusunda uyardı.
Ancak GreyNoise, gözlemlenen aktiviteyi CVE-2025-20393’e bağlayan hiçbir kanıt bulamadığının altını çiziyor.
Bir Palo Alto Networks sözcüsü BleepingComputer’a etkinlikten haberdar olduklarını doğruladı. Şirket, kullanıcılara güçlü şifreler ve çok faktörlü kimlik doğrulama koruması kullanmalarını öneriyor.
Palo Alto Networks sözcüsü, “GlobalProtect portalları da dahil olmak üzere VPN ağ geçitlerini hedef alan GreyNoise tarafından bildirilen kimlik bilgilerine dayalı faaliyetlerin farkındayız. Bu aktivite, otomatik kimlik bilgileri incelemesini yansıtıyor ve ortamımızdan ödün verilmesini veya Palo Alto Networks’teki herhangi bir güvenlik açığının istismar edilmesini teşkil etmiyor.” dedi.
“Araştırmamız, bunların zayıf kimlik bilgilerini belirlemeye yönelik senaryolu girişimler olduğunu doğruluyor” diye eklediler.
Önerilen Palo Alto Networks eyleminin yanı sıra Gray Noise, yöneticilere ağ cihazlarını denetlemelerini, beklenmedik oturum açma girişimlerini aramalarını ve bu araştırmaları gerçekleştiren bilinen kötü amaçlı IP’leri engellemelerini de tavsiye eder.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.