Când apar valuri de scanări neobișnuite asupra portalurilor de autentificare, devine evident că cineva monitorizează atent, și nu doar din simplă curiozitate. Sursele provin din datele GreyNoise, care evidențiază o creștere bruscă a adreselor IP care scanează profilele GlobalProtect și PAN-OS ale Palo Alto Networks, cu un focar principal în Statele Unite și incidente sporadice în câteva alte țări.
Cercetătorii GreyNoise au notat o creștere de aproximativ 500% în numărul IP-urilor care vizează profilele Palo Alto. Într-o zi critică, pe 3 octombrie, au fost implicate peste 1.285 de IP-uri unice, mult peste media zilnică obișnuită, sub 200. Majoritatea adreselor au fost geolocate în SUA, iar restul proveneau în principal din Marea Britanie, Țările de Jos, Canada și Rusia. Anumite clustere concentrate au atacat în special ținte din Statele Unite, altele s-au orientat către Pakistan. GreyNoise remarcă că aceste clustere aveau amprente TLS distincte, dar cu unele suprapuneri, sugerând activități coordonate, dar nu identice.
Firma clasifică 91% din IP-uri drept suspicioase și încă 7% ca malițioase. Majoritatea scanărilor au vizat profilele emulate Palo Alto configurate de GreyNoise (GlobalProtect, PAN-OS), indicând o țintire specifică, probabil cauzată de folosirea motoarelor de fingerprinting publice precum Shodan sau Censys, ori de scanări lansate direct de potențiali atacatori. GreyNoise subliniază că un astfel de pattern de scanare este frecvent un preludiu pentru încercări de exploatare, fie pentru vulnerabilități zero-day, fie pentru buguri cunoscute, n-day. Anterior, firma a atras atenția asupra unor scanări intensive îndreptate spre echipamente Cisco ASA; la scurt timp după, a fost confirmată exploatarea unui zero-day pe acel produs. În cazul Palo Alto, corelația dintre scanări și exploatări rămâne, pentru moment, mai slabă.
Pe lângă activitatea legată de Palo Alto, cercetătorii au semnalat revenirea încercărilor de exploatare a unei vulnerabilități vechi de tip path traversal din Grafana, identificată ca CVE-2021-43798. Această problemă fusese exploatată încă din decembrie 2021. Pe 28 septembrie, GreyNoise a raportat 110 IP-uri malițioase unice, majoritatea din Bangladesh, care au efectuat astfel de atacuri. Țintele au fost în special din Statele Unite, Slovacia și Taiwan. Distribuția destinațiilor indică un model constant, sugerând automatizare a atacurilor.
Recomandările practice ale GreyNoise sunt directe: administratorii trebuie să se asigure că instanțele Grafana sunt patch-uite pentru CVE-2021-43798 și să blocheze cele 110 adrese IP malițioase identificate. De asemenea, este recomandat să verifice jurnalele pentru cereri path traversal care ar fi putut expune fișiere sensibile.
Datele despre Palo Alto arată o activitate de scanare extinsă, cu 1.285 de IP-uri implicate pe 3 octombrie, iar majoritatea adreselor au fost etichetate ca suspicioase sau malițioase. Concluzia mea este că monitorizarea pasivă și emulările de profil, asemenea celor rulate de GreyNoise, pot furniza semnale timpurii valoroase; în practică, asta înseamnă menținerea PAN-OS și GlobalProtect la zi cu patch-urile, aplicarea unor politici stricte de acces și revizuirea constantă a logurilor. Pentru Grafana, datele concrete, CVE-2021-43798 și cele 110 IP-uri identificate, impun acțiuni clare: actualizare și blocare. Folosiți și voi scanări externe sau emulări de profil pentru a detecta astfel de activități în rețea?
Fii primul care comentează