درگاههای GlobalProtect VPN با ۲.۳ میلیون نشست اسکن مورد بررسی قرار گرفتهاند
فعالیت اسکن مخرب که درگاههای ورود Palo Alto Networks GlobalProtect VPN را هدف قرار میدهد طی ۲۴ ساعت، ۴۰ برابر افزایش یافته است و نشاندهنده یک کمپین هماهنگ است.
شرکت هوش بلادرنگ GreyNoise گزارش میدهد که این فعالیت از ۱۴ نوامبر شروع به افزایش کرد و طی یک هفته به بالاترین سطح خود در ۹۰ روز گذشته رسید.
در بولتن آمده است: «GreyNoise یک تشدید قابلتوجه در فعالیت مخرب علیه پورتالهای GlobalProtect شرکت Palo Alto Networks شناسایی کرده است.»
«از ۱۴ نوامبر ۲۰۲۵، فعالیت بهسرعت شدت گرفته و در نهایت به یک جهش ۴۰ برابری طی ۲۴ ساعت رسیده است که یک رکورد ۹۰ روزه محسوب میشود.»
در اوایل اکتبر، GreyNoise افزایش ۵۰۰ درصدی در تعداد آدرسهای IP اسکنکننده پروفایلهای Palo Alto Networks GlobalProtect و PAN-OS گزارش کرد، که ۹۱٪ از آنها «مشکوک» و ۷٪ «کاملاً مخرب» طبقهبندی شدهاند.
پیشتر، در آوریل ۲۰۲۵، GreyNoise یک افزایش دیگر در فعالیت اسکن هدفمند درگاههای ورود Palo Alto Networks GlobalProtect گزارش کرده بود که شامل ۲۴,۰۰۰ آدرس IP بود؛ اغلب آنها مشکوک و ۱۵۴ مورد مخرب بودند.
GreyNoise با اعتماد بالا معتقد است که فعالیت اخیر با کمپینهای قبلی مرتبط است، بر اساس الگوهای تکرارشونده TCP/JA4t، استفاده مکرر از ASN ها (Autonomous System Numbers) یکسان، و همزمانی جهشهای فعالیت در سراسر کمپینها.
ASN اصلی استفادهشده در این حملات AS200373 (3xK Tech GmbH) شناسایی شده است، بهطوری که ۶۲٪ IP ها در آلمان و ۱۵٪ در کانادا جئولوکیت شدهاند. ASN دوم دخیل در این فعالیت AS208885 است.
هدفگیری ورودهای VPN
بین ۱۴ تا ۱۹ نوامبر، GreyNoise ۲.۳ میلیون نشست را مشاهده کرده است که به URI مربوط به مسیر
/global-protect/login.esp
در PAN-OS و GlobalProtect شرکت Palo Alto برخورد کردهاند.
این URI مربوط به یک وباندپوینت است که توسط فایروال Palo Alto Networks با GlobalProtect منتشر میشود و صفحهای را نمایش میدهد که کاربران VPN در آن احراز هویت میکنند.
تلاشهای ورود عمدتاً ایالات متحده، مکزیک و پاکستان را هدف قرار میدهند، با حجمهایی تقریباً مشابه در بین این کشورها.
GreyNoise قبلاً بر اهمیت مسدودسازی این تلاشها و ردیابی فعال آنها بهعنوان پروبهای مخرب تأکید کرده است، بهجای اینکه صرفاً آنها را تلاشهای ناموفق سوءاستفاده از آسیبپذیریهای قدیمی تلقی کنند.
مطابق آمار این شرکت، این جهشهای اسکن معمولاً در ۸۰٪ موارد، پیش از افشای آسیبپذیریهای جدید رخ میدهند؛ این همبستگی برای محصولات Palo Alto Networks حتی قویتر است.
در خصوص فعالیت مخرب علیه Palo Alto Networks در سال جاری، دو مورد بهرهبرداری فعال در ماه فوریه ثبت شده است که شامل CVE-2025-0108 بود و سپس با CVE-2025-0111 و CVE-2024-9474 ترکیب شد.
در سپتامبر، Palo Alto Networks همچنین یک نشت داده را افشا کرد که دادههای مشتریان و پروندههای پشتیبانی را افشا کرده بود، بهعنوان بخشی از کمپین ShinyHunters’ Salesloft Drift.
