Palo Alto NetworksのGlobalProtectポータルを標的とした悪意のあるトラフィックが24時間で約40倍に急増し、過去90日間で最高値を記録、防御側は今後の動向に警戒を強めています。
GreyNoiseによると、この突然の波は11月14日に始まり、Palo AltoのPAN-OSおよびGlobalProtect製品で使用される「global-protect/login.esp」エンドポイントに対して約230万件のセッションが記録されました。トラフィックの大部分はAS200373(3xK Tech GmbH)という単一ネットワークから発生し、活動の約62%がドイツ、15%がカナダにジオロケートされています。2つ目のプロバイダーであるAS208885も、継続的にプローブを送信していました。
GreyNoiseによれば、指紋情報からこの悪意のある活動は過去にPalo Alto製品を攻撃した脅威アクターと関連していることが示唆されており、複数のキャンペーンで再利用されたTCPおよびJA4tシグネチャ、インフラの再利用が確認されています。スキャンは米国、メキシコ、パキスタンのGlobalProtectシステムを対象としており、いずれも同程度の注目を集めていることから、特定の標的を絞った作戦というよりは広範な機会的な探索であることが示唆されます。
「GreyNoiseは、この急増と過去の関連キャンペーンとの間に強い関連性があることも特定しています」とGreyNoiseのセキュリティリサーチアーキテクト、Matthew Remacle氏は述べています。「これらのキャンペーンは、少なくとも部分的には同じ脅威アクターによって主導されていると高い確信を持って評価しています。」
このパターンは、GreyNoiseが過去のVPN関連インシデントの前に観測したものと類似しています。例えばFortinetの機器では、脆弱性が公に開示されたり実際に悪用される数週間前にスキャンの急増がしばしば見られました。「GreyNoiseの調査によれば、攻撃者の活動の急増は同じベンダーに影響する新たな脆弱性に先行することが多く、観測されたケースの80%で6週間以内にCVEが開示されています」と同社は以前のブログで述べています。
だからといってPalo Altoが未修正のバグを隠しているというわけではありませんが、トラフィックのタイミングと量はセキュリティチームを警戒させるには十分です。
急増に先んじて顧客を支援するため、GreyNoiseはBlockサービスを通じて専用のPalo Altoブロックリストを提供しており、防御側はASN、JA4フィンガープリント、宛先国、分類に基づいて独自のフィルターを生成できるとしています。
観測されたスキャンに対応する既知のエクスプロイトは確認されておらず、Palo Altoもこの急増の理由を説明する新たなアドバイザリを発表していません(The Registerの質問にも回答していません)。それでも、大規模なインターネット探索、繰り返し使われる攻撃者インフラ、既知の事前スキャンの履歴が組み合わさるのは、良い兆候とは言えません。
公開されたGlobalProtectログインポータルを運用している組織に対するアドバイスは、いつものように慎重かつ用心深くあることです:アクセス制御を強化し、ログインの異常を監視し、探索がより深刻な攻撃に発展した場合はブロックリストやIPSルールを即座に適用できるよう準備しておきましょう。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/20/palo_alto_traffic_flood/
