Tudatos előkészületek támadásra
A vizsgált IP-címek 91%-át gyanúsnak, további 7%-át kifejezetten rosszindulatúnak minősítették. A forgalom túlnyomó többsége a Greynoise által emulált Palo Alto profilokon jelent meg, ami világosan mutatja, hogy célzott feltérképezésről – sőt, lehetséges támadási előkészületekről – van szó. A támadók vagy publikus keresőkből (például Shodan, Censys), vagy saját eszközeikkel próbálják beazonosítani a sérülékeny, MI által működtetett Palo Alto rendszereket.
Nem csak a Palo Alto: a Grafanát is támadják
Észrevehetően megnőtt a próbálkozások száma a Grafana egy régi, path traversal típusú sérülékenysége (CVE-2021-43798) kihasználására is. Szeptember 28-án 110 kifejezetten rosszindulatú IP-cím próbálkozott, többségük Bangladesből. A célpontok főleg az USA-ban, Szlovákiában és Tajvanon voltak – ami automatizált támadásokra utal. A szakértők azt javasolják, hogy minden érintett adminisztrátor foltozza be az ismert hibát, blokkolja ezeket az IP-címeket, illetve ellenőrizze a naplókat fájlhozzáférési kísérletek után kutatva.
