Scanări automate asupra portalurilor GlobalProtect de la Palo Alto Networks și interogări API ale SonicWall au fost observate în infrastructura unui furnizor german la începutul lunii decembrie, iar fenomenul se încadrează într-un tipar vechi de tentative masive de autentificare și de colectare a infrastructurii expuse pentru exploatare ulterioară. Tehnici precum forțarea parolelor sau scanerele care cartografiază punctele de management nu sunt complet noi; am văzut activități similare în valuri de credential stuffing și în sondări tehnologice care pregătesc terenul pentru vulnerabilități viitoare, doar că acum actorii operează la volume și cu resurse care pot părea copleșitoare la prima vedere.
Firma de intelligence GreyNoise a raportat că activitatea a început pe 2 decembrie și a pornit din peste 7.000 de adrese IP atribuite 3xK GmbH, operator care rulează propriul AS200373. Inițial, atacatorii au vizat portalurile GlobalProtect cu încercări de autentificare și bruteforce, apoi s-au orientat rapid către scanarea endpoint-urilor API ale SonicWall SonicOS. GlobalProtect este componenta VPN a platformei Palo Alto, folosită de companii mari, agenții guvernamentale și furnizori de servicii, iar SonicOS este sistemul de operare al firewall-urilor SonicWall care expune API-uri pentru configurare, administrare la distanță și monitorizare.
GreyNoise menționează că, în rețeaua sa de senzori, încercările asupra GlobalProtect au urmat două profile pentru captarea pasivă a activității de scanare și exploatare, utilizând trei amprente de client deja observate între sfârșitul lui septembrie și mijlocul lui octombrie. Investigațiile anterioare arată că activitatea prealabilă, provenind din patru ASN-uri fără istoric malițios, a generat peste 9 milioane de sesiuni HTTP ne-falsificabile, majoritar îndreptate către portalurile GlobalProtect. De asemenea, la mijlocul lunii noiembrie GreyNoise a observat 2, 3 milioane de sesiuni de scanare derulate din infrastructura 3xK Tech GmbH, cu 62% dintre IP-uri localizate în Germania și folosind aceleași amprente TCP/JA4t. Pe 3 decembrie aceleași trei amprente au reapărut în scanere care vizau API-urile SonicWall SonicOS, ceea ce a permis cercetătorilor să atribuie cu încredere ambele valuri aceluiași actor.
Scopul acestor scanări asupra endpoint-urilor API este, în general, identificarea vulnerabilităților sau a configurațiilor greșite care pot fi exploatate ulterior. GreyNoise avertizează că astfel de activități sunt adesea o fază de recunoaștere înaintea unor atacuri mai directe, de aceea apărătorii ar trebui să monitorizeze și să blocheze IP-urile asociate, să supravegheze suprasolicitarea suprafețelor de autentificare și repetarea eșecurilor de login, să urmărească amprentele client recurente și să adopte blocări dinamice, context-aware, în locul listelor statice de reputație. Aceste măsuri reduc riscul ca un val masiv de încercări automate să se transforme într-o breșă reală.
BleepingComputer a contactat atât Palo Alto Networks, cât și SonicWall pentru comentarii. Palo Alto Networks a confirmat că a detectat o creștere a scanărilor îndreptate spre interfețele GlobalProtect și a precizat că este vorba despre atacuri bazate pe folosirea de credențiale, nu exploatarea unei vulnerabilități software. Telemetria internă și protecțiile Cortex XSIAM indică faptul că produsele și serviciile nu au fost compromise. Compania recomandă implementarea autentificării multi-factor pentru a limita abuzul de credențiale.
Detaliile numerice ale operațiunii, peste 7.000 de IP-uri implicate, mai multe milioane de sesiuni de scanare și aceeași serie de amprente tehnice, arată că sonda nu a fost o încercare izolată, ci o campanie coordonată. Abuzul infrastructurii unor furnizori de hosting precum 3xK GmbH ridică întrebări despre responsabilitatea operatorilor de rețea și despre cum pot fi detectate mai rapid astfel de valuri înainte să ajungă la faza de exploatare. La nivel practic, MFA, monitorizarea ratelor de autentificare, filtrele bazate pe context și blocările dinamice rămân apărarea cea mai eficientă pe termen scurt.
GlobalProtect a fost vizată prin milioane de sesiuni de scanare. Reconnaissance-ul la scară mare, cu amprente repetate și trafic venit dintr-un bloc de adrese administrat de un provider, semnalează o etapă pregătitoare pentru atacuri ce pot folosi credențiale sau vulnerabilități descoperite ulterior. Apărarea practică intră în două direcții clare: întărirea autentificării prin MFA și ajustarea controalelor de blocare pentru a răspunde la patternuri dinamice, nu doar la liste static-construite. Cât de pregătită ți se pare rețeaua ta să facă față unor valuri asemănătoare?
Fii primul care comentează