Hacker nutzen 24.000 IPs, um Palo Alto Networks GlobalProtect anzugreifen

Anstieg der Scanner-Aktivität von Palo Alto Networks deutet auf mögliche bevorstehende Bedrohungen hin + GreyNoise hat einen deutlichen Anstieg der Anmelde-Scan-Aktivität beobachtet, die auf Palo Alto Networks PAN-OS GlobalProtect-Portale abzielt. In den letzten 30 Tagen haben fast 24.000 eindeutige IP-Adressen versucht, auf diese Portale zuzugreifen. Das Muster deutet auf eine koordinierte Anstrengung hin, die Netzwerkverteidigung zu testen und exponierte oder anfällige Systeme zu identifizieren, möglicherweise als Vorstufe für eine gezielte Ausnutzung.

Jüngste von GreyNoise beobachtete Muster deuten darauf hin, dass diese Aktivität in naher Zukunft auf das Auftreten neuer Schwachstellen hindeuten könnte:

„In den letzten 18 bis 24 Monaten haben wir ein konsistentes Muster der gezielten Ausrichtung auf ältere Schwachstellen oder altbekannte Angriffs- und Aufklärungsversuche gegen bestimmte Technologien beobachtet„, sagte Bob Rudis, Vizepräsident für Datenwissenschaft bei GreyNoise. “Diese Muster fallen oft mit neuen Schwachstellen zusammen, die 2 bis 4 Wochen später auftreten.“

• Der Anstieg begann am 17. März 2025, wobei die Aktivität mit fast 20.000 eindeutigen IPs pro Tag ihren Höhepunkt erreichte und bis zum 26. März konstant blieb, bevor sie abflachte.
• Der Großteil der beobachteten Aktivität wird als verdächtig eingestuft (23.800 IPs), wobei eine kleinere Teilmenge als bösartig gekennzeichnet ist (154 IPs).

Die Beständigkeit dieser Aktivität deutet auf einen geplanten Ansatz hin, die Netzwerkverteidigung zu testen und möglicherweise den Weg für eine Ausnutzung zu ebnen. Organisationen, die Produkte von Palo Alto Networks verwenden, sollten Maßnahmen ergreifen, um ihre Anmeldeportale zu sichern.

Quelle: GreyNoise

Ein erheblicher Teil des Datenverkehrs ist mit der 3xK Tech GmbH (20.010 IPs) unter ASN200373 verbunden. Weitere nennenswerte Mitwirkende sind PureVoltage Hosting Inc., Fast Servers Pty Ltd. und Oy Crea Nova Hosting Solution Ltd.

Analyse von Herkunfts- und Zielländern

• Herkunftsländer: Die meisten Angriffe kamen aus den USA (16.249) und Kanada (5.823), gefolgt von Finnland, den Niederlanden und Russland.
• Zielländer: Die überwältigende Mehrheit der Angriffe richtete sich gegen Systeme in den USA (23.768), während geringere Mengen auf das Vereinigte Königreich, Irland, Russland und Singapur entfielen.

Diese Muster spiegeln den globalen Charakter der Aktivität wider und deuten darauf hin, dass mehrere Regionen angegriffen werden.

Den vollständigen Beitrag hier lesen!

Bild/Quelle: https://depositphotos.com/de/home.html