Recientemente, se ha observado un aumento significativo en la actividad de escaneo dirigida a los portales de inicio de sesión de Palo Alto Networks GlobalProtect, lo que ha generado preocupaciones sobre un posible ataque o explotación de vulnerabilidades.
*Aumento en la Actividad de Escaneo
Más de 24.000 direcciones IP únicas están involucradas en esta actividad de escaneo, alcanzando un pico de 20.000 IPs únicas por día entre el 17 y 26 de marzo de 2025.
IP Maliciosas: De esas IPs, 23,800 se clasifican como sospechosas y 154 fueron validadas como maliciosas.
Posible Preparación para un Gran Ataque
Los expertos de GreyNoise indican que en el pasado, estos picos de escaneo suelen ser una fase preliminar antes de la explotación de vulnerabilidades con divulgación de fallos comúnmente ocurriendo entre dos y cuatro semanas después.
La forma en que se están realizando los escaneos sugiere que los atacantes están probando defensas de red antes de realizar intentos de explotación dirigidos.
Investigaciones y Tendencias
El análisis también mostró un aumento en la actividad de un rastreador de PAN-OS el 26 de marzo de 2025, relacionado con 2,580 IPs en sus escaneos.
Este comportamiento recuerda a una campaña de espionaje atribuida a los hackers ArcaneDoor que atacaron dispositivos de borde el año pasado.
Recomendaciones para Administradores ⚙️
GreyNoise recomienda que los administradores de sistemas expuestos a internet de Palo Alto Networks eleven su vigilancia frente a estos intentos de sondeo y posible explotación.
Algunas acciones sugeridas incluyen:
- Revisar los registros desde mediados de marzo para identificar posibles intentos de intrusión.
- Buscar señales de compromiso en los sistemas.
- Endurecer los portales de inicio de sesión y bloquear IPs maliciosas conocidas.
Se sugiere estar atentos a la posible divulgación de vulnerabilidades y nuevos intentos de explotación en los próximos días y semanas.
Descubre más desde CIBERED
Suscríbete y recibe las últimas entradas en tu correo electrónico.