Gần 24.000 IP nhắm mục tiêu PAN-OS GlobalProtect trong chiến dịch Login Scan

Các nhà nghiên cứu an ninh mạng đang cảnh báo về sự gia tăng đột biến trong hoạt động quét đăng nhập đáng ngờ nhắm vào các cổng Palo Alto Networks PAN-OS GlobalProtect, với gần 24.000 địa chỉ IP duy nhất cố gắng truy cập các cổng này.

Dấu hiệu này cho thấy một nỗ lực phối hợp để thăm dò các hệ thống phòng thủ mạng và xác định các hệ thống bị lộ hoặc dễ bị tấn công, có khả năng là tiền thân của việc khai thác có mục tiêu.

Sự gia tăng được cho là đã bắt đầu vào ngày 17 tháng 3 năm 2025, duy trì ở gần 20.000 địa chỉ IP duy nhất mỗi ngày trước khi giảm vào ngày 26 tháng 3. Vào thời kỳ đỉnh cao, ước tính có 23.958 địa chỉ IP duy nhất đã tham gia vào hoạt động này. Trong số này, chỉ có một tập hợp con nhỏ hơn gồm 154 địa chỉ IP đã bị gắn cờ là độc hại.

Hoa Kỳ và Canada đã nổi lên là nguồn lưu lượng truy cập hàng đầu, tiếp theo là Phần Lan, Hà Lan và Nga. Hoạt động này chủ yếu nhắm mục tiêu vào các hệ thống ở Hoa Kỳ, Vương quốc Anh, Ireland, Nga và Singapore. Hiện tại vẫn chưa rõ điều gì đang thúc đẩy hoạt động này, nhưng nó chỉ ra một cách tiếp cận có hệ thống để thử nghiệm các biện pháp phòng thủ mạng, có thể mở đường cho việc khai thác sau này.

Trước hoạt động bất thường, các tổ chức có phiên bản Palo Alto Networks đối mặt internet bắt buộc phải thực hiện các bước để bảo mật cổng thông tin đăng nhập của họ. Greynoise đã tiết lộ rằng họ đã quan sát thấy một sự tăng đột biến đáng kể trong hoạt động nhắm vào nhiều công nghệ, từ F5, Ivanti, Linksys, Sonicwall, Zoho ManageEngine và Zyxel bắt đầu từ ngày 28 tháng 3 năm 2025.

Nguồn: thehackernews