GreyNoiseは、CiscoおよびPalo Alto NetworksのファイアウォールとFortinet VPNを標的とした3つのエクスプロイトキャンペーンが、同じサブネット上のIPから発信されていることを発見しました。
この脅威インテリジェンス企業は、9月初旬にCisco ASAデバイスを標的としたスキャン試行について最初に警告しており、これはCiscoがSecure Firewall Adaptive Security Appliance(ASA)およびSecure Firewall Threat Defense(FTD)ソフトウェアに影響を与える2つのゼロデイ脆弱性を公表する約3週間前のことでした。
これらのバグは、CVE-2025-20333(CVSSスコア9.9)およびCVE-2025-20362(CVSSスコア6.5)として追跡されており、中国拠点のハッカーによるArcaneDoorスパイ活動キャンペーンに関連する攻撃で悪用されました。
先週、GreyNoiseはPalo Alto Networks GlobalProtectログインポータルに関連するスキャン活動の大幅な増加と、関与するユニークなASN数の急増について警告しました。
このサイバーセキュリティ企業は、2日間でスキャン活動が500%急増し、約1,300のIPから発信されていることを確認しました。数日以内に、関与するユニークなIP数は2,200に急増し、より多くの脅威アクターがこの活動に関与している可能性が高まりました。
過去1週間で、GreyNoiseはPalo Alto Networksファイアウォールを標的とした130万件以上のユニークなログイン試行を観測し、このキャンペーンで使用された認証情報のリストを公開しました。
木曜日、同社は警告を発し、CiscoおよびPalo Alto Networksのファイアウォールを標的としたスキャンキャンペーンが同じサブネット上のIPから発信されていること、さらにこれらがFortinet VPNを標的としたブルートフォース攻撃にも関連付けられることを明らかにしました。
「Fortinet VPNへのブルートフォース試行の急増は、通常6週間以内にFortinet VPNの脆弱性が公表される前兆となります。Fortinet SSL VPNをブルートフォースしているすべてのIPをブロックし、これらの発見を踏まえ、ファイアウォールおよびVPN機器の防御強化を検討してください」とGreyNoiseは述べています。
実際、同社によれば、既知ベンダーのファイアウォールおよびVPN製品を標的とした活動の急増の約80%は、これらの製品の新たな脆弱性が今後6週間以内に公表される可能性が高いことを示す早期警告となっています。
Cisco、Fortinet、Palo Alto Networksデバイスを標的とした3つのキャンペーンは、TCPフィンガープリントを共有し、同じサブネットを利用し、同時期に活動が活発化しています。
「私たちは、これら3つのキャンペーンが少なくとも部分的には同じ脅威アクターによって実行されていると高い確信を持って評価しています」とGreyNoiseは述べています。
同社はまた、Fortinetキャンペーンで使用された認証情報のリストも公開しています。
