Giriş denemeleriyle Palo Alto GlobalProtect portallarını hedef alan ve SonicWall SonicOS API uç noktalarına karşı tarama etkinliği başlatan bir kampanya gözlemlendi.
Faaliyet 2 Aralık’ta başladı ve kendi BGP ağını (AS200373) işleten ve barındırma sağlayıcısı olarak faaliyet gösteren Alman BT şirketi 3xK GmbH tarafından işletilen altyapıdaki 7.000’den fazla IP adresinden kaynaklandı.
Tehdit istihbarat şirketi GreyNoise’un bu haftaki bir raporunda, aktörün başlangıçta kaba kuvvet ve giriş denemeleriyle GlobalProtect portallarını hedef aldığını, ardından SonicWall API uç noktalarını taramaya yöneldiğini söyledi.
GlobalProtect, Palo Alto Networks’ün güvenlik duvarı platformunun büyük işletmeler, devlet kurumları ve servis sağlayıcılar tarafından kullanılan VPN ve uzaktan erişim bileşenidir.
Kaynak: GreyNoise
GreyNoise’a göre GlobalProtect oturum açma denemeleri, tarama ve kullanım faaliyetlerinin pasif olarak yakalanması için şirketin sensör ağındaki iki profili hedef aldı.
Araştırmacılar, dalgalanmanın Eylül sonu ile Ekim ortası arasında kaydedilen tarama denemelerinde daha önce gözlemlenen üç müşteri parmak izini kullandığını söylüyor.
Bu geçmiş etkinlik, hiçbir kötü amaçlı etkinlik geçmişi olmayan dört ASN’den kaynaklandı ve çoğunlukla GlobalProtect portallarını hedef alan 9 milyondan fazla sahte olmayan HTTP oturumu oluşturdu.
Kasım ortasında GreyNoise, 3xK Tech GmbH’nin GlobalProtect VPN portallarını araştıran altyapısında 2,3 milyon tarama oturumuyla etkinlik gözlemledi. Saldıran IP’lerin çoğu (%62) Almanya’da bulunuyordu ve aynı TCP/JA4t parmak izlerini kullanıyordu.
Analiz edilen göstergelere dayanarak şirket, her iki faaliyeti de güvenle aynı aktöre atfediyor.
3 Aralık’ta SonicWall SonicOS API’yi hedef alan tarama etkinliğinde aynı üç parmak izi görüldü.
Kaynak: GreyNoise
SonicOS, SonicWall güvenlik duvarlarında çalışan ve yapılandırma, uzaktan yönetim ve izleme için API uç noktalarını açığa çıkaran işletim sistemidir.
Bu uç noktaları hedef alan kötü amaçlı tarama genellikle güvenlik açıklarını ve yanlış yapılandırmaları belirlemek için yapılır. GreyNoise daha önce bu taramaların, yaklaşan kusurlardan yararlanma potansiyeline hazırlık amacıyla açıkta kalan altyapının keşfedilmesine de yardımcı olabileceğini belirtmişti.
Bu nedenle savunuculara bu tür faaliyetlerle ilişkili IP’leri izlemeleri ve engellemeleri tavsiye edilir.
Kimlik doğrulama yüzeylerinin anormal hız/tekrarlanan hatalar açısından izlenmesi, yinelenen istemci parmak izlerinin izlenmesi ve statik itibar listeleri yerine dinamik, bağlama duyarlı engelleme kullanılması da önerilir.
BleepingComputer bu etkinlikle ilgili olarak Palo Alto Networks ve SonicWall ile iletişime geçti.
Palo Alto Networks, GlobalProtect arayüzlerini hedefleyen artan tarama tespit ettiğini söyledi ve bunun “bir yazılım güvenlik açığından yararlanma değil, kimlik bilgilerine dayalı saldırıları temsil ettiğini” doğruladı.
Şirket, BleepingComputer’a “Ayrıca dahili telemetrimiz ve Cortex XSIAM korumamız, bu faaliyetin ürün veya hizmetlerimizden taviz vermediğini doğruluyor” dedi.
Palo Alto Networks, müşterilerin kimlik bilgilerinin kötüye kullanılmasına karşı koruma sağlamak için Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılmalarını öneriyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.