GreyNoise odkryło, iż trzy kampanie exploitów, których celem były zapory Cisco i Palo Alto Networks oraz sieci VPN Fortinet, pochodzą z adresów IP w tych samych podsieciach.
Firma ostrzegała o próbach skanowania urządzeń Cisco ASA na początku września, około trzy tygodnie przed ujawnieniem przez Cisco dwóch luk typu zero-day, które wpływały na oprogramowanie Secure Firewall Adaptive Security Appliance (ASA) i Secure Firewall Threat Defense (FTD).
Błędy, śledzone jako CVE-2025-20333 (wynik CVSS 9,9) i CVE-2025-20362 (wynik CVSS 6,5), zostały wykorzystane w atakach powiązanych z kampanią szpiegowską ArcaneDoor, którą przypisuje się hakerom z Chin. Pisaliśmy o niej tutaj.
W zeszłym tygodniu GreyNoise ostrzegło przed gwałtownym wzrostem aktywności skanowania związanej z portalami logowania GlobalProtect firmy Palo Alto Networks, a także przed tak samo gwałtownym wzrostem liczby unikalnych numerów ASN.
Firma zajmująca się cyberbezpieczeństwem odnotowała 500-procentowy wzrost aktywności skanowania w ciągu dwóch dni, pochodzącej z około 1300 adresów IP. W ciągu kilku dni liczba unikalnych adresów IP objętych atakiem wzrosła do 2200, prawdopodobnie dlatego, iż w działania te zaangażowało się więcej cyberprzestępców.
W ciągu ostatniego tygodnia firma GreyNoise zaobserwowała ponad 1,3 miliona unikalnych prób logowania wymierzonych w zapory sieciowe firmy Palo Alto Networks i opublikowała listę danych uwierzytelniających używanych w kampanii.
W czwartek firma ostrzegła, iż kampanie skanowania wymierzone w zapory sieciowe firmy Cisco i Palo Alto Networks pochodzą z adresów IP zlokalizowanych w tych samych podsieciach i mogą być również powiązane z atakami siłowymi na sieci VPN firmy Fortinet.
„Gwałtowne ataki siłowe na sieci VPN Fortinet zwykle prowadzą do ujawnienia luk w zabezpieczeniach w ciągu sześciu tygodni. W związku z tymi odkryciami należy zablokować wszystkie adresy IP, które atakują siłą sieci SSL VPN Fortinet, i rozważyć wzmocnienie zabezpieczeń zapór sieciowych i urządzeń VPN” – podało GreyNoise.
Według ekspertów GreyNoise około 80% gwałtownych ataków na zapory sieciowe i produkty VPN znanych dostawców stanowi wczesne ostrzeżenie, iż nowe luki w zabezpieczeniach tych produktów zostaną ujawnione prawdopodobnie w ciągu najbliższych sześciu tygodni.
Trzy kampanie wymierzone w urządzenia Cisco, Fortinet i Palo Alto Networks mają wspólne „odciski palców TCP”, wykorzystują te same podsieci i wykazują wzmożoną aktywność w podobnym czasie.
„Z dużym prawdopodobieństwem oceniamy, iż wszystkie trzy kampanie są przynajmniej częściowo napędzane przez tego samego(-ych) sprawcę(-ów) ataku” – poinformowali specjaliści GreyNoise.
Firma opublikowała również listę danych uwierzytelniających wykorzystanych w kampanii Fortinet. Rozszerzoną analizę możesz znaleźć tutaj.
