Un aumento repentino de escaneos sospechosos dirigidos a portales de inicio de
sesión de Palo Alto Networks indica claros esfuerzos de reconocimiento desde
direcciones IP sospechosas, advierten los investigadores.
La empresa de inteligencia de ciberseguridad GreyNoise informa un aumento del
500% en las direcciones IP enfocadas en los perfiles GlobalProtect y PAN-OS de
Palo Alto Networks. La actividad culminó el 3 de octubre con más de 1.285 IP
únicas involucradas. Normalmente, los escaneos diarios no superan las 200
direcciones,
según la empresa.
La mayoría de las IP observadas estaban geolocalizadas en EE.UU., mientras que
grupos más pequeños se ubicaban en el Reino Unido, Países Bajos, Canadá y
Rusia. Un grupo de actividad concentró su tráfico en objetivos en Estados
Unidos y otro en Pakistán, según los investigadores, señalando que ambos
tenían «huellas TLS distintas, pero no sin solapamiento».
Según GreyNoise, el 91% de las direcciones IP se clasificaron como
sospechosas. Un 7 % adicional se etiquetó como maliciosas.
«Casi toda la actividad se dirigió a los perfiles emulados de Palo Alto de
GreyNoise (Palo Alto GlobalProtect, Palo Alto PAN-OS), lo que sugiere que la
actividad es de naturaleza dirigida, probablemente derivada de escaneos
públicos (por ejemplo, Shodan, Censys) o de origen atacante que identifican
dispositivos de Palo Alto», explica GreyNoise.
GreyNoise ha advertido previamente
que dicha actividad de escaneo suele indicar la preparación para ataques que
utilizan nuevos exploits para vulnerabilidades Zero-Day o día N.
La empresa de ciberseguridad emitió recientemente una advertencia sobre el
aumento de los escaneos de red dirigidos a dispositivos Cisco ASA. Dos semanas
después, se supo que una vulnerabilidad Zero-Day se había explotado en ataques
dirigidos al mismo producto de Cisco.
Fuente:
BC