安全警报拉响!就在刚刚过去的几周(2025年3月下旬),全球范围内的 Palo Alto Networks PAN-OS GlobalProtect 网关(这是一种广泛使用的安全远程访问解决方案,通常作为企业的VPN接入点)遭遇了一场大规模、协同性的登录扫描风暴。威胁情报公司GreyNoise监测到近24,000个独立IP地址参与了此次活动,并警告称:“这种模式表明这是一次旨在探测网络防御、识别暴露或脆弱系统的协同行动,可能是后续定向攻击的前兆。”
事件规模与时间线
根据GreyNoise的监测数据,这波异常扫描活动始于2025年3月17日左右,并在此后一段时间内保持着每天近20,000个独立IP地址的高强度扫描态势,直至3月26日左右才有所回落。活动峰值期间,参与扫描的独立IP地址数量估计高达23,958个。
- 扫描目的推测
此类“登录扫描”活动旨在探测互联网上开放的GlobalProtect登录门户,并可能尝试通过密码喷洒、凭证填充等手段使用弱密码、默认凭证或已知泄露凭证进行登录,以寻找可利用的入侵点。 - 来源与目标
扫描IP主要来自美国、加拿大等地,目标系统则集中在美国、英国、爱尔兰、俄罗斯和新加坡。 - 扫描源分析
在峰值时的近2.4万个IP中,GreyNoise指出仅154个被明确标记为恶意。这表明大部分扫描流量可能来自被攻陷的物联网设备、服务器组成的僵尸网络,或是通过代理/VPN等方式隐藏真实来源的扫描器,显示出攻击活动的规模化和分布式特征,使得基于IP的简单封堵效果有限。
意图分析与专家洞察:潜在的新漏洞预警?
驱动此次大规模扫描的具体动机尚不明确,但其系统性探测的特征本身即是危险信号。GreyNoise数据科学副总裁Bob Rudis提供了一个关键的、基于历史模式的洞察:“在过去的18到24个月里,我们观察到一个持续的模式:针对特定技术的旧有漏洞或常见攻击/侦察尝试的蓄意扫描活动,往往预示着新的相关漏洞会在2到4周后浮出水面。” 这一观察为此次大规模扫描增添了更深层次的紧迫性——基于历史数据模式,这有可能是一个潜在新漏洞被利用前的早期预警信号,尽管这并非定论,但该模式值得高度关注。
关联事件:更广泛的边缘设备扫描潮
此次针对PAN-OS的扫描并非孤立事件。GreyNoise进一步披露,自2025年3月28日起,他们观察到针对多种技术(特别是边缘设备)的扫描活动呈现显著增加的态势,涉及厂商包括F5、Ivanti、Linksys、SonicWall、Zoho ManageEngine和Zyxel等。该公司认为这表明“侦察或漏洞利用尝试正在加剧”。PAN-OS GlobalProtect扫描事件的发生时间(3月17日开始,3月26日回落)与后续更广泛扫描的兴起(3月28日开始)在时间上紧密衔接,可能预示着攻击者焦点的一次转移或扩大,两者都是旨在发现网络边界薄弱环节的侦察活动。
厂商回应与防御建议
Palo Alto Networks已公开回应,表示正积极监控局势并分析影响,同时敦促客户:“遵循最佳实践,确保运行最新版本的PAN-OS软件。”
鉴于当前情况,强烈建议采取以下防御措施:
- 立即修补
优先确保所有面向互联网的Palo Alto Networks设备及其他厂商(如F5, Ivanti等)的边缘设备都已安装最新的安全更新。 - 强化监控
增强对GlobalProtect等VPN/远程访问入口的网络流量监控,特别关注登录尝试失败、异常来源IP的访问等情况。部署和优化相关检测规则。 - 访问控制与IP封锁
审视访问控制策略,最小化暴露面。利用GreyNoise等威胁情报源提供的IP列表,阻止已知的恶意或可疑扫描源。
近期针对PAN-OS GlobalProtect及其他多种边缘设备的大规模扫描活动,尤其是其可能预示新漏洞的模式,要求所有组织必须立即行动,加固网络边界。考虑到此类扫描活动可能预示着后续攻击,防御窗口期可能有限,立即检查并更新所有边缘设备的安全状态,是抵御潜在威胁的关键一步。请各单位务必重视并尽快采取行动。
原文始发于微信公众号(技术修道场):近2.4万IP协同扫描PAN-OS GlobalProtect!GreyNoise警告:或为新漏洞攻击前奏!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论