吳明宜駭客正大量掃描Palo Alto GlobalProtect漏洞,疑為攻擊前測試。GreyNoise警告企業應檢查3月的log並加強防護。
安全廠商 GreyNoise 警告,駭客正在搜尋網路上 Palo Alto Network 安全遠端存取產品 GlobalProtect 的漏洞,可能正準備發動精準攻擊
上個月有超過 2.4 萬個不重覆 IP 位址試圖存取 GlobalProtect 入口網站,這可能暗示即將針對新漏洞下手。研究人員發現,從 3 月 17 日起存取活動大幅增加,GlobalProtect 入口網站每日有近 2 萬次執行登入掃瞄,直到 3 月 26 日仍然很熱絡。近 2.3 個 IP 屬於可疑來源,而其中 150 個已知為惡意 IP 。研究人員研判,這是攻擊者發動攻擊前,測試企業網路防禦的活動。
GreyNoise 研究人員指出,過去 18 到 24 個月,他們觀察到特定產品較舊的漏洞遭受攻擊,或對已知漏洞進行偵察,而往往在 2 到 4 星期後就會冒出新漏洞。
這波 Palo Alto Networks VPN 產品的刺探活動大部份來自美國,約 1.6 萬個 IP,加拿大以 5,800 個次之。而掃瞄對象也是以美國為主,少部份落在英國、愛爾、俄羅斯和新加坡。
除了 GlobalProtect 入口網站,GreyNoise 還注意到 Palo Alto Networks 其他 PAN-OS 裝置,例如 PAN-OS Crawler 也成掃瞄目標。這和去年四月思科研究人員發現到針對思科、微軟 Exchange Server 及其他廠商的邊緣裝置的掃瞄活動很類似。
GreyNoise 建議,基於這波掃瞄很不尋常,有曝險未修補漏洞的 Palo Alto Networks 產品用戶應檢查三月份的 log 紀錄並對營運系統執行詳細的安全稽核,檢查是否有入侵訊號。
來源:SecurityWeek