Palo Alto Networksのログインポータルを標的とした不審なスキャンの急増は、不審なIPアドレスからの明確な偵察活動を示していると、研究者らは警告しています。
サイバーセキュリティインテリジェンス企業のGreyNoiseによると、Palo Alto NetworksのGlobalProtectおよびPAN-OSプロファイルを狙ったIPアドレスが500%増加したと報告しています。
この活動は10月3日にピークを迎え、1,285以上のユニークなIPが関与しました。通常、1日のスキャンは200アドレスを超えることはないと同社は述べています。
観測されたIPのほとんどは米国に位置しており、その他は英国、オランダ、カナダ、ロシアに小規模なクラスターが存在していました。
研究者によると、ある活動クラスターは米国内のターゲットにトラフィックを集中させ、もう一つはパキスタンに焦点を当てていたとのことです。両者は「異なるTLSフィンガープリントを持っていたが、完全に重複がなかったわけではない」と指摘しています。
GreyNoiseによれば、IPアドレスの91%が不審と分類され、さらに7%が悪意ありとタグ付けされました。
「ほぼすべての活動はGreyNoiseがエミュレートしたPalo Altoプロファイル(Palo Alto GlobalProtect、Palo Alto PAN-OS)を標的としており、この活動が標的型であること、また公開情報(例:Shodan、Censys)や攻撃者発のスキャンによるPalo Altoデバイスのフィンガープリント取得に由来する可能性が高いことを示唆しています」とGreyNoiseは説明しています。
出典: GreyNoise
GreyNoiseは、以前から、このようなスキャン活動はゼロデイやnデイ脆弱性を利用した新たな攻撃の準備段階であることが多いと警告しています。
同社は最近、Cisco ASAデバイスを標的としたネットワークスキャンの増加についても警告を発しました。2週間後、同じCisco製品を標的としたゼロデイ脆弱性が攻撃に悪用されているというニュースが報じられました。
しかし、GreyNoiseによれば、最近のPalo Alto Networks製品を標的としたスキャンについては、このような相関関係は弱いとしています。
Grafanaも標的に
研究者らはまた、Grafanaの古いパストラバーサル脆弱性の悪用試行が増加していることにも気付きました。このセキュリティ問題はCVE-2021-43798として特定されており、2021年12月にゼロデイ攻撃で悪用されました。
GreyNoiseの観測によると、バングラデシュからのものが大半を占める110のユニークな悪意あるIPが、9月28日に攻撃を仕掛けていました。
標的は主に米国、スロバキア、台湾にあり、攻撃は発信元ごとに一貫した宛先比率を維持しており、これは通常自動化を示しています。
出典: GreyNoise
GreyNoiseは管理者に対し、GrafanaインスタンスがCVE-2021-43798に対してパッチ適用されていることを確認し、特定された110の悪意あるIPアドレスをブロックするよう推奨しています。
また、研究者らはパストラバーサルリクエストによって機密ファイルが返されていないか、ログを確認することも勧めています。
