Massiver Anstieg verdächtiger Scans auf Anmeldeportale von Palo Alto Networks

Innerhalb von 48 Stunden ist die Zahl verdächtiger Scans auf die Anmeldeportale von Palo Alto Networks um rund 500 Prozent gestiegen – der höchste Wert der vergangenen 90 Tage.

Nach Angaben des Cybersecurity-Intelligence-Unternehmens GreyNoise richtet sich die Aktivität vor allem gegen die GlobalProtect- und PAN-OS-Profile des Unternehmens. Am 3. Oktober 2025 registrierte GreyNoise mehr als 1.285 eindeutige IP-Adressen, die entsprechende Login-Portale scannten. Üblicherweise liegt die Zahl laut dem Unternehmen unter 200 pro Tag.

Die Forscher interpretieren den sprunghaften Anstieg als Hinweis auf gezielte Erkundungsversuche verdächtiger IP-Adressen. Bereits im Juli hatte GreyNoise beobachtet, dass erhöhte Aktivitäten gegen Palo-Alto-Technologien in einigen Fällen innerhalb von sechs Wochen mit der Offenlegung neuer Sicherheitslücken zusammenfielen.

Für den aktuellen Anstieg im Zusammenhang mit dem Tag „Palo Alto Networks Login Scanner“ konnte diese Korrelation bislang nicht bestätigt werden. GreyNoise will die Situation weiter beobachten, um mögliche Zusammenhänge mit künftigen Sicherheitsmeldungen von Palo Alto Networks zu erkennen.

Wichtigste Ergebnisse

Volumen: Am 3. Oktober lösten ~1.300 eindeutige IPs den Tag „Palo Alto Networks Login Scanner” von GreyNoise aus. In den vorangegangenen 90 Tagen lag das tägliche Volumen selten über 200 IPs.
Klassifizierung: 93 % der IPs wurden als verdächtig und 7 % als bösartig eingestuft.
Quellinfrastruktur: 91 % der IPs wurden in den Vereinigten Staaten geolokalisiert, mit kleineren Clustern im Vereinigten Königreich, in den Niederlanden, Kanada und Russland.
Zielprofile: Fast alle Aktivitäten richteten sich gegen die emulierten Palo Alto-Profile von GreyNoise (Palo Alto GlobalProtect, Palo Alto PAN-OS), was darauf hindeutet, dass die Aktivitäten gezielter Natur sind und wahrscheinlich aus öffentlichen (z. B. Shodan, Censys) oder von Angreifern stammenden Scans stammen, die Fingerabdrücke von Palo Alto-Geräten erstellen.
Fokus auf Ziele: In den letzten 48 Stunden wurden unterschiedliche Scan-Cluster beobachtet. Einer richtete den Großteil seines Datenverkehrs auf die Vereinigten Staaten, während sich ein anderer auf Pakistan konzentrierte – beide mit unterschiedlichen TLS-Fingerabdrücken, jedoch nicht ohne Überschneidungen. Auch Profile mit Sitz in Mexiko, Frankreich, Australien und Großbritannien waren Ziel der Angriffe.

Möglicherweise zusammenhängende Aktivitäten

Die Analyse von GreyNoise zeigt, dass der Anstieg der Scans auf Palo-Alto-Systeme ähnliche Merkmale aufweist wie die Scan-Aktivitäten gegen Cisco ASA in den vergangenen 48 Stunden. In beiden Fällen wurden regionale Clusterbildungen sowie Überschneidungen bei den eingesetzten Tools festgestellt. Zudem weisen sowohl der Cisco-ASA- als auch der Palo-Alto-Login-Scan-Traffic einen dominanten TLS-Fingerabdruck auf, der mit einer Infrastruktur in den Niederlanden in Verbindung steht.

Zuvor hatte GreyNoise bereits einen Anstieg der ASA-Scans beobachtet, bevor Cisco zwei Zero-Day-Schwachstellen in ASA-Systemen bekanntgab. Die Ähnlichkeiten zwischen den Aktivitäten deuten darauf hin, dass gemeinsame Tools oder eine zentral verwaltete Infrastruktur genutzt werden könnten. Eine Bestätigung, ob die Vorgänge von denselben Akteuren oder mit identischen Absichten ausgehen, liegt derzeit jedoch nicht vor.

Mögliche koordinierte, technologieübergreifende Aktivitäten

Neben den Parallelen zu den Cisco-ASA-Scans registrierte GreyNoise auch gleichzeitige Zunahmen bei Scans auf Remote-Zugriffsdienste. Zwar gilt dies als verdächtig, doch ein direkter Zusammenhang zwischen den Aktivitäten konnte bislang nicht festgestellt werden.

Auswirkungen für Verteidiger

Der Anstieg am 3. Oktober markiert den größten Zuwachs an IP-Adressen, die gezielt nach Palo-Alto-Anmeldeportalen suchten, innerhalb der vergangenen drei Monate. Nahezu die gesamte beteiligte Infrastruktur wurde erstmals in den letzten 48 Stunden beobachtet. Der Datenverkehr war klar strukturiert, zielgerichtet und auf verschiedene Scan-Cluster verteilt, wobei der Fokus auf Palo-Alto-Login-Portalen lag.

Diese Merkmale unterscheiden die Aktivität deutlich von gewöhnlichem Hintergrundrauschen und deuten auf ein gezieltes Aufklärungsereignis hin. GreyNoise will die Entwicklungen weiterhin beobachten, um mögliche Folgeaktivitäten zu identifizieren.

Grafana erneut Ziel von Angreifern

Forscher verzeichneten eine Zunahme der Versuche, eine ältere Path-Traversal-Sicherheitslücke in Grafana auszunutzen. Die Schwachstelle, bekannt unter der Kennung CVE-2021-43798, war bereits im Dezember 2021 in sogenannten Zero-Day-Angriffen missbraucht worden.

Am 28. September 2025 registrierte das Sicherheitsunternehmen GreyNoise eine koordinierte Angriffswelle auf genau diese Lücke. Innerhalb eines Tages wurden 110 eindeutige IP-Adressen erfasst, die versuchten, das Global Observation Grid (GOG) von GreyNoise anzugreifen. Alle beteiligten Adressen wurden als bösartig eingestuft.

Nach einer Phase relativer Ruhe bei Grafana-Exploits markierte dieser Tag einen deutlichen Aktivitätsanstieg. Die Angriffe konzentrierten sich auf Zielsysteme in den USA, der Slowakei und Taiwan. Die meisten Ursprungsadressen stammten aus Bangladesch (107 IPs), gefolgt von China (2) und Deutschland (1).

Auffällig: 105 der 107 IPs aus Bangladesch richteten ihre Angriffe gegen Systeme in den Vereinigten Staaten. Zudem tauchten die meisten dieser Adressen erst am 28. September erstmals in den Daten von GreyNoise auf – dem Tag, an dem sie die Angriffe ausführten.v

Muster in der Aktivität

Die Analyse der Daten zeigt zwei auffällige Elemente:

Konsistente Zielausrichtung

Der gesamte beobachtete Datenverkehr folgte einem klaren Muster. Die Angriffe verteilten sich im Verhältnis von etwa 3:1:1 auf die USA, die Slowakei und Taiwan. Dieses Verhältnis blieb auch dann bestehen, als die Daten auf die drei Hauptursprungsländer eingegrenzt wurden:

China: USA (7), Slowakei (2), Taiwan (2)
Deutschland: USA (3), Slowakei (1), Taiwan (1)
Bangladesch: USA (100), Slowakei (1), Taiwan (1)

Konvergenz bei den Tools

Auch die am 28. September beobachteten TCP-Fingerabdrücke richteten sich gegen dieselben drei Zielregionen. GreyNoise identifizierte mindestens zwei unterschiedliche HTTP-Fingerabdrücke, was darauf hindeutet, dass mehrere Tools gegen eine gemeinsame Zielgruppe eingesetzt wurden.
Die Übereinstimmung in geografischer Verteilung und technischer Vorgehensweise spricht für koordinierte Angriffe mit einer gemeinsamen Zielliste – nicht für zufälligen Datenverkehr.

Bemerkenswerte Infrastruktur

Zwei IP-Adressen aus China – 60.186.152.35 und 122.231.163.197 – stachen besonders hervor. Beide gehören zur CHINANET-BACKBONE-Infrastruktur, wurden erstmals am 28. September registriert, waren nur an diesem Tag aktiv und konzentrierten sich ausschließlich auf Grafana.

Bedrohungskontext.
Die Ausnutzung älterer, aber weiterhin wirksamer Schwachstellen wie CVE-2021-43798 ist in verschiedenen Angriffskategorien weit verbreitet:

Globale Ausnutzung: Grafana-Schwachstellen werden in groß angelegten SSRF- und Exploit-Kampagnen verwendet, die zahlreiche Systeme betreffen.
Wiederverwendung von Schwachstellen und Toolkits: Bekannte Lücken – etwa CVE-2025-6023 – werden für Kontoübernahmen eingesetzt und in Angreifer-Toolsets integriert.
Exploit-Ketten und Aufklärung: Grafana-Schwachstellen tauchen häufig in der Aufklärungsphase komplexer Angriffsketten auf.

Bewertung

Die Ereignisse deuten auf eine koordinierte Kampagne gegen eine bekannte, ältere Sicherheitslücke hin. Das einheitliche Muster über Länder und Tools hinweg spricht für gemeinsame Aufgaben oder die Nutzung identischer Exploit-Kits.
GreyNoise weist keine bestimmte Gruppe als Urheber aus, vermutet jedoch, dass entweder ein Betreiber mehrere Infrastrukturen nutzt oder mehrere Angreifer dieselben Werkzeuge und Zielvorgaben teilen.
Es ist wahrscheinlich, dass ältere Schwachstellen wie CVE-2021-43798 auch künftig erneut aufgegriffen werden.

Empfehlungen für Verteidiger:

Blockieren Sie die 110 bösartigen IP-Adressen, die am 28. September aktiv waren.
Stellen Sie sicher, dass alle Grafana-Instanzen gepatcht sind.
Überprüfen Sie Protokolle auf Path-Traversal-Versuche und unberechtigte Dateizugriffe.
Wenden Sie sich an GreyNoise, um JA4+-Signaturen der Untersuchung zu erhalten.