Ricercatori di cybersecurity stanno lanciando l’allarme su un aumento dell’attività di scansione di login sospetti che prende di mira i gateway GlobalProtect di Palo Alto Networks PAN-OS. Quasi 24.000 indirizzi IP unici hanno tentato di accedere a questi portali. “Questo schema suggerisce uno sforzo coordinato per sondare le difese di rete e identificare sistemi esposti o vulnerabili, potenzialmente come preludio a un’esploitazione mirata,” ha dichiarato la società di intelligence sulle minacce GreyNoise.
L’ondata di attività è iniziata il 17 marzo 2025, mantenendosi su quasi 20.000 indirizzi IP unici al giorno prima di calare il 26 marzo. Al suo apice, si stima che 23.958 indirizzi IP unici abbiano partecipato all’attività. Di questi, solo un sottoinsieme più piccolo di 154 indirizzi IP è stato segnalato come maligno.
Gli Stati Uniti e il Canada sono emersi come le principali fonti di traffico, seguiti da Finlandia, Paesi Bassi e Russia. L’attività ha principalmente preso di mira sistemi negli Stati Uniti, nel Regno Unito, in Irlanda, in Russia e a Singapore.
Non è ancora chiaro cosa stia guidando questa attività, ma indica un approccio sistematico per testare le difese di rete, che potrebbe probabilmente aprire la strada a future esploitazioni.
“Negli ultimi 18-24 mesi, abbiamo osservato un modello costante di targeting deliberato di vecchie vulnerabilità o tentativi di attacco e ricognizione ben noti contro tecnologie specifiche,” ha affermato Bob Rudis, VP di Data Science presso GreyNoise. “Questi schemi spesso coincidono con l’emergere di nuove vulnerabilità 2-4 settimane dopo.”
Alla luce di questa attività insolita, è imperativo che le organizzazioni con istanze di Palo Alto Networks esposte a Internet prendano misure per proteggere i loro portali di login.
Fonte: The Hackers News
