Изследователи предупреждават за над 500% увеличение на подозрителните IP адреси, извършващи сканирания на Palo Alto Networks GlobalProtect и PAN-OS логин портали. Данните идват от компанията за киберразузнаване GreyNoise, според която активността е част от ясни разузнавателни операции в подготовка за потенциални атаки.

Масови сканирания срещу Palo Alto устройства

На 3 октомври GreyNoise регистрира повече от 1 285 уникални IP адреса, ангажирани в подобна дейност – при обичайни дневни стойности под 200.
Повечето IP адреси са геолокирани в САЩ, а по-малки клъстери идват от Обединеното кралство, Нидерландия, Канада и Русия.

Изследователите са идентифицирали два основни клъстера – единият насочен към цели в САЩ, а другият към Пакистан. Въпреки че имат различни TLS отпечатъци, между тях има частично припокриване.
Според GreyNoise 91% от IP адресите са класифицирани като подозрителни, а 7% – като злонамерени.

„Почти цялата активност беше насочена към нашите емулирани Palo Alto профили (GlobalProtect и PAN-OS), което показва целенасочен характер, вероятно базиран на публични данни от Shodan или Censys, или на собствени сканирания от страна на атакуващи“, посочват изследователите.

GreyNoise отбелязва, че подобни сканирания често предхождат атаки с използване на zero-day или n-day уязвимости. Като пример се припомня скорошен случай с Cisco ASA устройства – две седмици след подобно увеличение на сканиранията бе разкрита zero-day уязвимост, използвана в реални атаки.

В конкретния случай обаче връзката между сканиранията и реални експлойти все още не е потвърдена.

Позицията на Palo Alto Networks

Компанията реагира с официално изявление:

„Сигурността на нашите клиенти е наш основен приоритет. Разследвахме съобщената активност и не открихме доказателства за компрометиране. Нашата инфраструктура е защитена чрез платформата Cortex XSIAM, която ежедневно спира 1.5 милиона нови атаки и автоматично редуцира 36 милиарда събития до най-критичните заплахи.“

Увеличение и на атаките срещу Grafana

Паралелно с това GreyNoise отчита и нов ръст на експлоатационни опити срещу по-стара уязвимост в Grafana – CVE-2021-43798 (path traversal).
Уязвимостта беше активно експлоатирана още през декември 2021 г. като zero-day.
Сега са засечени 110 уникални злонамерени IP адреса, предимно от Бангладеш, които са извършвали атаки на 28 септември. Основни цели са били системи в САЩ, Словакия и Тайван.

Според изследователите съотношението на атаките по държави и времеви модел показва висока степен на автоматизация.

GreyNoise препоръчва на администраторите да:

• актуализират всички Grafana инстанции, за да елиминират CVE-2021-43798;

• блокират идентифицираните 110 IP адреса;

• проверят логовете за заявки, показващи path traversal опити, които могат да разкрият чувствителни файлове.