พบแคมเปญโจมตีพอร์ทัล Palo Alto GlobalProtect ด้วยการพยายามเข้าสู่ระบบ และแคมเปญการสแกนอุปกรณ์ SonicOS API endpoints ของ SonicWall
เหตุการณ์ดังกล่าวเริ่มต้นขึ้นเมื่อวันที่ 2 ธันวาคม และเกิดจากไอพีมากกว่า 7,000 ไอพี จากโครงสร้างพื้นฐานที่ดำเนินการโดยบริษัทไอทีเยอรมัน 3xK GmbH ซึ่งดำเนินงานเครือข่าย BGP ของตนเอง (AS200373) และดำเนินการในฐานะผู้ให้บริการโฮสติ้ง
GreyNoise บริษัทผู้เชี่ยวชาญด้าน threat intelligence ระบุในรายงานประจำสัปดาห์นี้ว่า "ในตอนแรกผู้โจมตีมุ่งเป้าไปที่พอร์ทัล GlobalProtect ด้วยการโจมตีแบบ Brute Force และพยายามเข้าสู่ระบบ และจากนั้นจึงเปลี่ยนไปสแกน API endpoints ของ SonicWall"
GlobalProtect คือ VPN และการเข้าถึงระยะไกลของแพลตฟอร์มไฟร์วอลล์ของ Palo Alto Networks ซึ่งถูกใช้งานโดยองค์กรขนาดใหญ่ หน่วยงานรัฐบาล และผู้ให้บริการต่าง ๆ
ตามรายงานของ GreyNoise ระบุว่า โปรไฟล์สองโปรไฟล์ในเครือข่ายเซ็นเซอร์ของบริษัท เพื่อบันทึกกิจกรรมการสแกน และการ Exploitation แบบ Passive
นักวิจัยระบุว่าการโจมตีที่สูงขึ้นนี้ใช้ client fingerprints สามรายที่เคยพบในการสแกนที่บันทึกไว้ระหว่างปลายเดือนกันยายนถึงกลางเดือนตุลาคม
การดำเนินการนี้เกิดจาก ASN สี่หมายเลขที่ไม่มีประวัติที่เป็นอันตรายมาก่อน โดยได้สร้างเซสชัน HTTP ได้มากกว่า 9 ล้าน sessions ซึ่งส่วนใหญ่มุ่งเป้าไปที่พอร์ทัล GlobalProtect
ในช่วงกลางเดือนพฤศจิกายน GreyNoise ยังสังเกตพบการโจมตีจากโครงสร้างพื้นฐานของบริษัท 3xK Tech GmbH ที่พยายามโจมตีพอร์ทัล GlobalProtect VPN ด้วย scan sessions กว่า 2.3 ล้าน sessions โดย IP ที่ใช้ในการโจมตีส่วนใหญ่ (62%) อยู่ในประเทศเยอรมนี และใช้ fingerprints TCP/JA4t แบบเดียวกัน และเมื่อวันที่ 3 ธันวาคม พบ 3 fingerprints แบบเดียวกันในการดำเนินการสแกนที่มุ่งเป้าไปที่ SonicWall SonicOS API
SonicOS คือระบบปฏิบัติการที่ทำงานอยู่บนไฟร์วอลล์ของ SonicWall ซึ่งมี API endpoints สำหรับการกำหนดค่า, การจัดการจากระยะไกล และการมอนิเตอร์
โดยทั่วไปแล้วการสแกนที่เป็นอันตรายที่มุ่งเป้าไปยัง endpoints เหล่านี้จะทำขึ้นเพื่อหาช่องโหว่ และการตั้งค่าที่ไม่ถูกต้อง GreyNoise ได้เคยตั้งข้อสังเกตไว้ก่อนหน้านี้ว่า การสแกนเหล่านี้อาจช่วยค้นพบระบบที่เปิดให้เข้าถึงได้โดยตรงจากอินเทอร์เน็ต เพื่อใช้สำหรับการโจมตีที่อาจเกิดขึ้นจากช่องโหว่ในอนาคต ด้วยเหตุนี้ จึงแนะนำให้ตรวจสอบไอพีที่เกี่ยวข้องกับการดำเนินการประเภทนี้ และบล็อกไอพีเหล่านั้น นอกจากนี้ยังมีการแนะนำให้สังเกตุการล็อกอิน หรือการ Authentication ที่ผิดปกติ และปรับใช้การบล็อกแบบไดนามิก
Palo Alto Networks ระบุว่า ตรวจพบการสแกนที่เพิ่มขึ้นซึ่งมุ่งเป้าไปที่อินเทอร์เฟซ GlobalProtect และยืนยันว่า การโจมตีดังกล่าวเป็นการโจมตีโดยใช้ข้อมูล Credentials ไม่ใช่การโจมตีจากช่องโหว่ของซอฟต์แวร์
นอกจากนี้ ระบบ Internal Telemetry และระบบป้องกัน Cortex XSIAM ยืนยันได้ว่าการดำเนินการนี้ไม่ก่อให้เกิดความเสียหายต่อผลิตภัณฑ์ หรือบริการของบริษัท
Palo Alto Networks ขอแนะนำให้ลูกค้าใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA) เพื่อป้องกันการละเมิดข้อมูล Credentials
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.