自動化されたキャンペーンが複数のVPNプラットフォームを標的にしており、Palo Alto NetworksのGlobalProtectおよびCisco SSL VPNで、認証情報に基づく攻撃が観測されています。
12月11日、脅威監視プラットフォームのGreyNoiseは、GlobalProtectポータルを狙ったログイン試行の数が、16時間の期間中に最大170万件に達したことを確認しました。
収集されたデータによると、攻撃は1万を超えるユニークIPアドレスから発信され、米国、メキシコ、パキスタンに所在するインフラを標的としていました。
悪意のあるトラフィックはほぼ全て、3xK GmbH(ドイツ)のIP空間から発信されており、集中管理されたクラウドインフラを示唆しています。
研究者の観測によれば、脅威アクターは一般的なユーザー名とパスワードの組み合わせを再利用しており、リクエストの大半は、このプロバイダー経由の自動ログイン活動としては珍しいFirefoxのユーザーエージェントから送られていました。
「ユーザーエージェント、リクエスト構造、タイミングの一貫性は、対話的なアクセス試行や脆弱性の悪用ではなく、露出している、または保護が弱いGlobalProtectポータルを特定するために設計されたスクリプトによる認証情報の探索を示唆しています」 とGreyNoiseは説明しています。
「この活動は、企業向けVPNの認証エンドポイントに対する継続的な圧力を反映しており、GreyNoiseが攻撃者活動の高まりの時期に繰り返し観測してきたパターンです。」
出典: GreyNoise
12月12日、同じホスティングプロバイダーから、同一のTCPフィンガープリントを用いた活動が、Cisco SSL VPNエンドポイントの探索を開始しました。
GreyNoiseの監視記録では、ユニークな攻撃IPが通常のベースラインである200未満から1,273へと急増したことが確認されました。
この活動は、過去12週間において、3xKがホストするIPがCisco SSL VPNに対して大規模に使用された初めての事例に当たります。
このケースでも、ログインのペイロードはCSRFの処理を含む通常のSSL VPN認証フローに従っており、エクスプロイトではなく自動化された認証情報攻撃であることを示しています。
出典: GreyNoise
昨日、CiscoはCisco AsyncOSにおける最大深刻度のゼロデイ脆弱性(CVE-2025-20393)について顧客に警告しました。この脆弱性は、Secure Email Gateway(SEG)およびSecure Email and Web Manager(SEWM)アプライアンスを標的とする攻撃で積極的に悪用されています。
しかしGreyNoiseは、観測された活動をCVE-2025-20393に結び付ける証拠は見つからなかったと強調しています。
Palo Alto Networksの広報担当者はBleepingComputerに対し、この活動を把握していると確認しました。同社は、強力なパスワードと多要素認証による保護を使用するようユーザーに推奨しています。
「GreyNoiseが報告した、GlobalProtectポータルを含むVPNゲートウェイを標的とした認証情報に基づく活動を把握しています。この活動は自動化された認証情報の探索を反映しており、当社環境の侵害やPalo Alto Networksの脆弱性の悪用を意味するものではありません」とPalo Alto Networksの広報担当者は述べました。
「当社の調査により、これらは弱い認証情報を特定するためのスクリプト化された試行であることが確認されました」と付け加えています。
Palo Alto Networksが推奨する対応に加え、Grey Noiseは管理者に対し、ネットワークアプライアンスの監査、予期しないログイン試行の確認、そしてこれらの探索を行う既知の悪意あるIPのブロックも助言しています。
