A empresa de threat intelligence GreyNoise revelou na última sexta-feira um aumento significativo na atividade de scanning voltada aos portais de login da Palo Alto Networks.
No dia 3 de outubro de 2025, foi registrado um crescimento de quase 500% na quantidade de endereços IP que realizaram tentativas de acesso nesses portais, atingindo o maior nível dos últimos três meses.
Segundo a GreyNoise, o tráfego observando é direcionado e estruturado, focado principalmente nos portais de login da Palo Alto.
Foram identificados cerca de 1.300 IPs únicos participando dessa ação, um salto expressivo em relação aos aproximadamente 200 IPs observados anteriormente.
Desses, 93% são classificados como suspeitos e 7% como maliciosos.
A maioria está geolocalizada nos Estados Unidos, com grupos menores detectados no Reino Unido, Holanda, Canadá e Rússia.
"A escalada dirigida à Palo Alto apresenta características similares ao scanning detectado em dispositivos Cisco ASA nas últimas 48 horas", destacou a GreyNoise.
Em ambos os casos, os scanners exibiram agrupamentos regionais e sobreposição nas técnicas e ferramentas utilizadas para fingerprinting.
Além disso, o tráfego de scanning para Cisco ASA e Palo Alto nesta janela compartilha uma fingerprint TLS predominante vinculada a uma infraestrutura na Holanda.
Em abril de 2025, a GreyNoise já havia reportado uma atividade semelhante, suspeita e voltada aos gateways PAN-OS GlobalProtect da Palo Alto Networks.
Na ocasião, a fabricante recomendou que seus clientes mantivessem o software atualizado nas versões mais recentes.
Esse aumento ocorre no contexto do relatório Early Warning Signals divulgado pela GreyNoise em julho de 2025, que apontou como frequente o surgimento de novas vulnerabilidades (CVEs) para tecnologias que recentemente sofreram picos em ataques de scanning, bruteforce ou tentativas de exploit, geralmente dentro de um período de seis semanas.
Em setembro, a GreyNoise também alertou para scans suspeitos realizados no final de agosto contra dispositivos Cisco Adaptive Security Appliance (ASA).
A primeira onda envolveu mais de 25.100 endereços IP, principalmente no Brasil, Argentina e EUA.
Pouco tempo depois, a Cisco confirmou a existência de duas vulnerabilidades zero-day críticas no ASA (
CVE-2025-20333
e
CVE-2025-20362
), que estavam sendo exploradas em ataques reais com propagação de malwares como RayInitiator e LINE VIPER.
Dados da Shadowserver Foundation indicam que mais de 45.000 instâncias Cisco ASA/FTD ainda são vulneráveis a essas falhas, sendo mais de 20.000 nos Estados Unidos e cerca de 14.000 na Europa.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...