Исследователи зафиксировали резкий всплеск подозрительной сетевой активности, направленной на VPN-порталы GlobalProtect от Palo Alto Networks. За 30 дней к этим шлюзам безопасности пытались подключиться почти 24 000 уникальных IP-адресов — масштаб, который специалисты называют признаком скоординированной разведки перед возможной атакой.
Хронология всплеска
Кампания стартовала 17 марта 2025 года. Активность быстро нарастала: в пиковые дни фиксировалось около 20 000 уникальных IP в сутки, после чего интенсивность сканирования пошла на спад после 26 марта.
Специалисты платформы GreyNoise отнесли большинство источников — 23 800 IP-адресов — к категории «подозрительные», а 154 адреса были однозначно помечены как вредоносные.
«За последние 18–24 месяца мы наблюдаем устойчивую закономерность: целенаправленное сканирование старых уязвимостей или отработанные попытки разведки против конкретных технологий, — пояснил Боб Рудис, вице-президент по анализу данных GreyNoise. — Такие всплески нередко совпадают с появлением новых уязвимостей через 2–4 недели».
Тень CVE-2024-3400
Рост сканирующей активности вызывает особую тревогу на фоне прошлогоднего обнаружения CVE-2024-3400 — критической уязвимости внедрения команд в PAN-OS GlobalProtect. Она позволяла неаутентифицированным злоумышленникам выполнять произвольный код с правами root на уязвимых межсетевых экранах и получила максимальную оценку CVSS — 10.0.
В ходе технического анализа исследователи выделили три уникальных сетевых отпечатка JA4h, связанных с инструментом для сканирования логин-форм:
po11nn11enus_967778c7bec7_000000000000_000000000000
po11nn09enus_fb8b2e7e6287_000000000000_000000000000
po11nn060000_c4f66731b00d_000000000000_000000000000
Эти отпечатки позволяют командам безопасности сопоставлять отдельные попытки входа как принадлежащие одному и тому же набору инструментов, даже когда атакующие меняют исходные IP-адреса.
География и инфраструктура
Основная часть сканирующего трафика шла из США (16 249 IP) и Канады (5 823 IP), меньшие доли приходились на Финляндию, Нидерланды и Россию. При этом подавляющее большинство целей также находилось в США — 23 768 IP-адресов.
Значительная часть трафика — 20 010 IP-адресов — оказалась связана с инфраструктурой 3xK Tech GmbH (ASN200373). Дополнительный вклад внесли PureVoltage Hosting Inc., Fast Servers Pty Ltd. и Oy Crea Nova Hosting Solution Ltd.
Активность коррелирует и с другими попытками разведки PAN-OS: 26 марта был отмечен всплеск трафика «PAN-OS Crawler» — 2 580 уникальных источников. Эксперты также отмечают сходство текущей волны с кампанией кибершпионажа 2024 года, нацеленной на периметровые сетевые устройства.
Что делать администраторам
Организациям, использующим продукты Palo Alto Networks, рекомендуется немедленно проверить логи за март, усилить мониторинг, провести threat hunting, убедиться, что все патчи безопасности установлены, и рассмотреть блокировку уже выявленных вредоносных IP-адресов.
Источник: Cybersecurity News.