Pesquisadores de cibersegurança estão alertando sobre um aumento na atividade suspeita de varredura de login visando gateways GlobalProtect da PAN-OS, da Palo Alto Networks, com quase 24.000 endereços IP únicos tentando acessar esses portais.
"Esse padrão sugere um esforço coordenado para sondar as defesas de rede e identificar sistemas expostos ou vulneráveis, potencialmente como um precursor para exploração direcionada," afirmou a firma de inteligência de ameaças GreyNoise.
Diz-se que o aumento começou em 17 de março de 2025, mantendo-se em quase 20.000 endereços IP únicos por dia antes de cair em 26 de março.
No seu ápice, estima-se que 23.958 endereços IP únicos tenham participado da atividade.
Desses, apenas um subconjunto menor de 154 endereços IP foi marcado como malicioso.
Os Estados Unidos e o Canadá emergiram como as principais fontes de tráfego, seguidos pela Finlândia, Holanda e Rússia.
A atividade teve como alvo principal sistemas nos Estados Unidos, no Reino Unido, na Irlanda, na Rússia e em Singapura.
Atualmente, não está claro o que está impulsionando a atividade, mas ela aponta para uma abordagem sistemática de testar as defesas de rede, o que provavelmente poderá abrir caminho para explorações posteriores.
"Nos últimos 18 a 24 meses, observamos um padrão consistente de mira deliberada em vulnerabilidades mais antigas ou tentativas de ataque e reconhecimento bem conhecidas contra tecnologias específicas," disse Bob Rudis, VP de Ciência de Dados na GreyNoise.
Esses padrões frequentemente coincidem com o surgimento de novas vulnerabilidades 2 a 4 semanas depois.
Diante da atividade incomum, é imperativo que organizações com instâncias Palo Alto Networks voltadas para a internet tomem medidas para proteger seus portais de login.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...