3 октября зафиксирован резкий рост активности по сканированию устройств Palo Alto Networks. По данным GreyNoise, около 1 300 уникальных IP-адресов вызвали оповещения — это увеличение почти на 500% за 48 часов и «самый высокий показатель за последние три месяца».
Ключевые факты
- Количество задействованных IP: ~1 300 уникальных адресов.
- Классификация активности: примерно 93% — susicious (подозрительные), 7% — malicious (вредоносные).
- Наиболее затронутые регионы: США (лидирующая доля), также заметны кластеры в Великобритании, Нидерландах, Канаде и России.
- Целевые профили: в первую очередь Palo Alto GlobalProtect и PAN-OS, что указывает на целенаправленное сканирование порталов входа в систему.
Региональная кластеризация и особенности трафика
Анализ выявил несколько отдельных кластеров сканирования. Один кластер преимущественно направлял трафик в США, другой — в Пакистан. Кластеры отличались отпечатками TLS (TLS fingerprint), что указывает на различное происхождение операторов, хотя имелись и перекрывающиеся характеристики — возможно, это следствие использования общедоступных инструментов разведки или близких по набору утилит у разных групп.
Особенно примечателен заметный TLS-отпечаток, связанный с инфраструктурой, базирующейся в Нидерландах.
Связь со сканированием Cisco ASA и предшествующими инцидентами
Интересно, что увеличение активности сканирования на устройства Palo Alto коррелирует с аналогичным всплеском, направленным на Cisco ASA, произошедшим приблизительно в тот же период. Анализ показал сходство в региональной кластеризации и в отпечатках инструментов, применяемых для сканирования как порталов входа в Palo Alto, так и Cisco ASA.
Этот паттерн следует за ранее опубликованными отчетами GreyNoise о сканировании Cisco ASA, связанными с раскрытием двух уязвимостей zero-day. В сумме это создаёт контекст повышенного интереса злоумышленников к удалённому обнаружению и эксплуатации порталов входа в сетевые устройства.
Увеличение почти на 500% в течение 48 часов и самый высокий показатель за последние три месяца.
Последствия для безопасности и рекомендации
Концентрированный и структурированный характер трафика, направленного преимущественно на порталы входа в систему, подчёркивает необходимость усиления мониторинга и внедрения защитных мер. Для команд по защите информации целесообразны следующие шаги:
- Усилить мониторинг логов доступа к порталам входа (периодические проверки и корреляция событий).
- Ввести или проверить корректность настройки MFA для всех административных и удалённых доступов.
- Ограничить доступ по IP-адресам/геолокации и использовать VPN/zero-trust модели доступа.
- Применить rate limiting и WAF/Reverse proxy для порталов входа, где это возможно.
- Проводить регулярное обновление и патчинг PAN-OS и компонентов Palo Alto GlobalProtect.
- Настроить IDS/IPS и сигнатуры обнаружения для характерных TLS-отпечатков и шаблонов сканирования.
- Использовать threat intelligence (включая GreyNoise) для быстрой идентификации подозрительных источников и блокировки.
- Планировать инцидент-реакцию: ревизия конфигураций, резервная проверка журналов и подготовка сценариев реагирования.
Вывод
Всплеск сканирования 3 октября — крупнейший приток IP-адресов, проверяющих порталы входа в Palo Alto за последние три месяца. Сочетание целенаправленных сканирований, региональной кластеризации и совпадения с активностью против Cisco ASA указывает на скоординированные или по крайней мере синхронизированные операции сканирования. Организациям следует повысить бдительность, пересмотреть настройки удалённого доступа и усилить защитные меры, чтобы минимизировать риск дальнейшей автоматизированной или целевой эксплуатации обнаруженных в ходе сканирования уязвимостей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "3 октября: всплеск сканирования Palo Alto — 1300 IP, +500%".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.