- GreyNoiseがPalo Alto GlobalProtectおよびPAN-OSプロファイルを標的としたスキャンが500%急増したことを観測
- スキャン元IPの7%が悪意ありと判定、大半は米国から発信され、米国とパキスタンのシステムが主な標的
- Palo Altoは侵害の証拠を確認せず、自社のCortex XSIAMによる防御に引き続き自信を示す
専門家によると、何者かがPalo Alto Networksのログインポータルの脆弱性を探ろうとしている兆候が見られると警告しています。
セキュリティ研究者のGreyNoiseは、Palo Alto Networks GlobalProtectおよびPAN-OSプロファイルをスキャンするIPアドレスが500%増加したと報告しました。
通常の金曜日には、約200のIPアドレスがウェブ上のさまざまなプロファイルをスキャンしていますが、10月3日には1,280件以上が観測されました。
Palo Altoは依然として安全
このような急増は珍しいことではありませんが、多くの場合、脅威アクターが脆弱性を発見し、潜在的な被害者を特定しようとしているサインです。
GreyNoiseによると、観測されたIPアドレスのうち7%が悪意ありと確認され、91%が「疑わしい」とされています。
これらのIPアドレスのほとんどは米国から発信されており、英国、オランダ、カナダ、ロシアからのものも少数存在します。標的の多くは米国とパキスタンに位置しています。
「ほぼすべての活動はGreyNoiseがエミュレートしたPalo Altoプロファイル(Palo Alto GlobalProtect、Palo Alto PAN-OS)に向けられており、この活動が標的型であること、またパブリックな(例:Shodan、Censys)もしくは攻撃者発信のスキャンによるPalo Altoデバイスのフィンガープリントに由来する可能性が高い」とGreyNoiseはレポートで述べています。
一方で、Palo Altoは自社システムがほぼあらゆる攻撃に耐えうると自信を持っています。BleepingComputerに提供した声明で、同社は報告を調査し「侵害の証拠は見つからなかった」と述べています:
「Palo Alto Networksは自社のCortex XSIAMプラットフォームによって保護されており、毎日150万件の新たな攻撃を阻止し、360億件のセキュリティイベントを自律的に最重要脅威へと絞り込むことで、インフラの安全を確保しています。当社は堅牢なセキュリティ体制とネットワーク保護能力に引き続き自信を持っています」と広報担当者は述べています。
このようなスキャンはn-day脆弱性の探索だけでなく、ゼロデイ脆弱性の発見にも利用される可能性があります。
翻訳元: https://www.techradar.com/pro/security/palo-alto-systems-see-huge-surge-in-scanning-attacks
