ผู้เชี่ยวชาญแจ้งเตือนว่า พบการสแกนจากที่อยู่ IP ที่น่าสงสัย มุ่งเป้าไปยังพอร์ทัลล็อกอินของ Palo Alto Networks ซึ่งแสดงให้เห็นถึงความพยายามในการหาข้อมูลอย่างชัดเจน
GreyNoise รายงานว่า พบการสแกนเพิ่มขึ้นถึง 500% ของ IP Address ที่มุ่งเป้าไปยัง GlobalProtect และ PAN-OS ของ Palo Alto Networks
GreyNoise รายงานว่า เหตุการณ์หยุดลงเมื่อวันที่ 3 ตุลาคม โดยมี IP Address ไม่ซ้ำกันกว่า 1,285 IP เข้าร่วมเหตุการณ์ดังกล่าว ซึ่งปกติแล้ว การสแกนต่อวันจะไม่เกิน 200 IP
IP Address ส่วนใหญ่ที่พบอยู่ในสหรัฐอเมริกา ขณะที่กลุ่ม IP ขนาดเล็กถูกระบุว่าอยู่ในสหราชอาณาจักร, เนเธอร์แลนด์, แคนาดา และรัสเซีย
นักวิจัยระบุว่า มีกลุ่มการโจมตีหนึ่งมุ่งเป้าไปยังเป้าหมาย IP ในสหรัฐอเมริกา ขณะที่อีกกลุ่มหนึ่งโฟกัสไปที่ปากีสถาน โดยทั้งสองกลุ่มมี TLS fingerprints ที่แตกต่างกัน แต่ก็มีบางส่วนที่ทับซ้อนกัน
ตามรายงานของ GreyNoise พบว่า 91% ของ IP Address ถูกจัดประเภทเป็น “น่าสงสัย” ส่วนอีก 7% ถูกระบุว่าเป็น “เป็นอันตราย”
GreyNoise อธิบายว่า “เกือบทั้งหมดของการโจมตีมุ่งเป้าไปยัง Palo Alto ที่ GreyNoise จำลองไว้ (GlobalProtect และ PAN-OS) ซึ่งแสดงให้เห็นว่าการโจมตีนี้มีเป้าหมายเฉพาะเจาะจง อาจเกิดจากการสแกนอุปกรณ์ Palo Alto ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต เช่น Shodan หรือ Censys หรือจากผู้โจมตีโดยตรง”
ก่อนหน้านี้ GreyNoise เตือนว่า การสแกนลักษณะนี้มักเป็นสัญญาณการเตรียมการโจมตีโดยใช้ช่องโหว่ใหม่ (zero-day หรือ n-day)
GreyNoise เพิ่งออกคำเตือนเกี่ยวกับการสแกนเครือข่ายที่มุ่งเป้าไปยังอุปกรณ์ Cisco ASA และสองสัปดาห์ต่อมา มีรายงานการโจมตีโดยใช้ช่องโหว่ zero-day บนอุปกรณ์ Cisco ดังกล่าว
อย่างไรก็ตาม GreyNoise ระบุว่า ความสัมพันธ์ที่พบระหว่างการสแกนล่าสุดกับผลิตภัณฑ์ของ Palo Alto Networks นั้นไม่ชัดเจนเท่ากับกรณีของ Cisco
ที่มา : bleepingcomputer
You must be logged in to post a comment.