数週間にわたる異常なスキャン活動の後、同じキャンペーンがCiscoのSSL VPNも狙った。
認証情報を用いた協調的なハッキングキャンペーンが、12月中旬の攻撃急増の中で、Palo Alto NetworksのGlobalProtectサービスおよびCiscoのSSL VPNを標的にしている。GreyNoiseが水曜日に公開したブログ投稿によると。
この脅威活動は脆弱性の標的化を伴わず、2日間にわたり自動化されたスクリプトによるログイン試行を行うものだ。
GreyNoiseによると、16時間の期間にPalo Alto NetworksのGlobalProtectおよびPAN-OSプロファイルを標的としたセッションが170万件超観測された。12月11日には、GlobalProtectポータルへのログインを試みた1万超のユニークIPが検出された。
標的となったポータルは主に米国、パキスタン、メキシコに所在していたとGreyNoiseは述べた。トラフィックのほぼすべてはホスティングプロバイダーの3xK GmbHに関連するIP空間から発生しており、広く分散したエンドユーザーではなく、集中型のクラウドホスト基盤が用いられたことを示している。
研究者らは12月12日、CiscoのSSL VPNを標的とした機会主義的なブルートフォースのログイン試行が急増したことを確認した。日次のユニーク攻撃IPは、通常のベースラインである約200から1,273IPへ増加した。GreyNoiseは、トラフィックの多くが同社のベンダー非依存のFacadeセンサーに到達したと述べた。これは、攻撃が標的型というより機会主義的であったことを示している。
Palo Alto Networksの広報担当者は、同社がこの脅威活動を把握しているとし、プロセスは「自動化された認証情報の探索(プロービング)」を伴うものの、同社の環境を侵害したり、同社に関連する脆弱性を悪用したりしたものではないと述べた。
「当社の調査により、これらは弱い認証情報を特定するためのスクリプト化された試行であることが確認されました」と、Palo Alto Networksの広報担当者はメールでCybersecurity Diveに語った。
GreyNoiseによると、Ciscoへの攻撃はPalo Alto Networksへの攻撃に関連するツールおよびインフラを共有している。
同じ研究者らは12月2日、Palo Alto NetworksのGlobalProtectを標的とする7,000超のIPを含むトラフィック急増について警告した。12月3日には同様の急増がSonicWallのSonicOS APIエンドポイントを標的にした。
GreyNoiseは以前、数カ月にわたりPalo Alto NetworksのGlobalProtectを標的としたスキャン活動について警告しており、11月の大幅な急増も含まれていた。
Ciscoの広報担当者は、コメントのため直ちに連絡が取れなかった。
翻訳元: https://www.cybersecuritydive.com/news/credential-based-hacking-palo-alto-networks/808269/
