Výrazný nárůst skenování portálů Palo Alto Networks – náznaky přípravy na cílené útoky

Bezpečnostní analytici z GreyNoise upozorňují na masivní nárůst skenovacích aktivit zaměřených na přihlašovací portály Palo Alto Networks. Během několika dní došlo k více než pětinásobnému nárůstu podezřelých IP adres, které se zaměřily na rozhraní GlobalProtect a PAN-OS.

K vrcholu aktivity došlo 3. října, kdy bylo detekováno více než 1 285 unikátních IP adres provádějících skeny vůči profilům napodobujícím produkty Palo Alto GlobalProtect a PAN-OS. V běžném provozu se přitom denní počet podobných skenů pohybuje kolem 200 IP adres.

GreyNoise uvádí, že 91 % IP adres bylo klasifikováno jako podezřelé, 7 % bylo označeno za škodlivé. Většina IP adres byla geolokalizována v USA, menší skupiny pocházely z Velké Británie, Nizozemska, Kanady a Ruska. Výzkumníci identifikovali dva odlišné clustery – jeden se zaměřoval na cíle v USA, druhý na Pákistán. Oba měly rozdílné TLS otisky, ale s určitým překryvem, což naznačuje koordinovanou, ale různorodou aktivitu.

Podle GreyNoise jde pravděpodobně o cílený průzkum systémů (reconnaissance), využívající informace z veřejně dostupných vyhledávačů zařízení jako Shodan nebo Censys. Podobná aktivita bývá předzvěstí snahy o zneužití nově objevených zranitelností – buď zero-day, nebo již známých n-day zranitelností.

Například v nedávném případě Cisco ASA zařízení byl podobný nárůst skenů zaznamenán těsně před zveřejněním aktivně zneužívané zranitelnosti. U Palo Alto zatím GreyNoise nepozoruje tak silnou korelaci, ale riziko nelze podceňovat.

Současně GreyNoise detekoval také zvýšenou aktivitu spojenou se zneužíváním známé zranitelnosti typu path traversal v nástroji Grafana (CVE-2021-43798), která byla původně zneužívána již v prosinci 2021.

Aktuálně bylo identifikováno 110 škodlivých IP adres, převážně z Bangladéše, které útoky prováděly 28. září. Cíle byly lokalizovány především v USA, na Slovensku a na Tchaj-wanu.

Způsob útoku nese znaky automatizace – rovnoměrné rozložení podle původu napovídá využití botnetů nebo skriptovaných nástrojů.

Doporučení pro správce a bezpečnostní týmy:

– Sledujte přístupové logy a podezřelé skenovací aktivity (např. opakované pokusy o připojení k rozhraní GlobalProtect).

– Implementujte rate-limiting a geo-fencing na přihlašovací portály, pokud to provoz dovoluje.

– Pravidelně aktualizujte PAN-OS a sledujte bezpečnostní bulletiny Palo Alto.

Grafana (CVE-2021-43798)

– Ověřte, zda je instance Grafany aktualizována na verzi, kde je zranitelnost opravená.

– Zablokujte známé škodlivé IP adresy identifikované GreyNoise.

– Prověřte logy na známky path traversal požadavků, které by mohly naznačovat únik citlivých souborů.

Nárůst skenovacích aktivit je často prvním signálem, že se útočníci připravují na cílené útoky. Správci by měli být obzvlášť obezřetní, pokud využívají nástroje jako Palo Alto GlobalProtect nebo Grafana. Včasná detekce a reakce může zabránit kompromitaci systémů ještě před tím, než dojde ke zneužití zranitelností.

Zdroj: bleepingcomputer.com

Zdroj ilustračního obrázku: Fotis Fotopoulos on Unsplash