Az új VPN-roham: hackerek ostromolják a Palo Altót

Egyre intenzívebb támadási hullám érkezett a Palo Alto GlobalProtect VPN-portáljai ellen: ismeretlen támadók tömeges bejelentkezési kísérletekkel és célzott szkennelésekkel próbáltak hozzáférést szerezni. Az agresszív aktivitás december 2-án kezdődött, és több mint 7 000 IP-címről érkezett, amelyeket a német 3xK GmbH üzemeltet, és saját BGP-hálózattal is rendelkezik.

Brute force és szkennelés: két fronton támadnak

Kezdetben a támadók brute force módszerrel próbáltak belépni a GlobalProtect-portálokra, majd hamar áttértek a SonicWall SonicOS API-végpontjainak szkennelésére. A vizsgálatok során három, már korábban is megfigyelt kliensazonosítót ismertek fel, amelyek naponta több millió, nem hamisított HTTP-munkamenetet generáltak. Ezek főként a GlobalProtect-portálokat célozták, de a legújabb hullámban már SonicWall-tűzfalakat is vizsgáltak.

Főként német támadók, hasonló lenyomatok

A támadások döntő többsége (62%) német IP-címekről érkezett, és ugyanazt a TCP/JA4t-lenyomatot használták, mint korábban. A gyanús anomáliákat azonosító GreyNoise elemzői szerint a különböző hullámokért ugyanaz az elkövető felelős. December 3-ra a támadók már teljes erővel szkennelték a SonicWall API-végpontjait is.

Hogyan védekezz?

A kártékony szkennelés célja a hibás konfigurációk, sérülékenységek felderítése, hogy a későbbi szoftverhibákat időben kihasználhassák. Ezért érdemes figyelni és blokkolni az ilyen támadásokat indító IP-címeket, illetve folyamatosan monitorozni a hitelesítési felületeken a szokatlan próbálkozásokat vagy ismétlődő hibákat. A Palo Alto Networks külön ajánlja a többfaktoros hitelesítés (MFA) kötelezővé tételét, így a jelszavak ellopása után is megelőzhető az adathalászattal vagy feltöréssel történő visszaélés.

2025, adrienne, www.bleepingcomputer.com alapján

Share on Social Media