La firma de inteligencia de amenazas Greynoise reveló el viernes que se ha observado un aumento en las actividades de escaneos dirigidas a los portales de inicio de sesión de Palo Alto Networks.
La compañía dijo que observó el 3 de octubre de 2025 que un aumento de casi el 500% en las direcciones IP que escanean el portal de inicio de sesión de Palo Alto Networks fue el nivel más alto registrado en los últimos tres meses. Describe el tráfico como dirigido y estructurado y apunta principalmente al portal de inicio de sesión de Palo Alto.
Hasta 1.300 direcciones IP únicas han participado en este esfuerzo, un gran salto de alrededor de 200 direcciones IP únicas observadas previamente. De estas direcciones IP, el 93% se clasifican como sospechosos y el 7% son maliciosos.
La mayoría de las direcciones IP están inmersas en los EE. UU. Y se han detectado grupos más pequeños en el Reino Unido, Países Bajos, Canadá y Rusia.
«Este aumento de Palo Alto comparte características con los escaneos de Cisco ASA que han ocurrido en las últimas 48 horas», dice Greynoise. «En ambos casos, el escáner mostró agrupaciones regionales superpuestas y huellas digitales con las herramientas utilizadas».
«El tráfico de escaneo de inicio de sesión de Cisco ASA y Palo Alto en las últimas 48 horas comparte la huella digital TLS dominante vinculada a la infraestructura holandesa».
En abril de 2025, GreyNoise informó una actividad de escaneo de inicio de sesión sospechosa similar dirigida a las puertas de puertas de protección global de Palo Alto Networks, instando a las compañías de seguridad de la red a instar a los clientes a ejecutar la última versión de su software.
Este desarrollo a menudo será seguido por un aumento en escaneos maliciosos, mejoras brutas o intentos de explotación, como Greynoise señaló en su informe de señal de advertencia temprana en julio de 2025, con divulgaciones de nuevas CVE que afectan la misma tecnología en seis semanas.
A principios de septiembre, Greynoise advirtió sobre un escaneo sospechoso que ocurrió a fines de agosto, atacando a los dispositivos de Security Security Appliance (ASA) de Cisco. Las primeras olas provenían de más de 25,100 direcciones IP, principalmente en Argentina y Brasil, Estados Unidos.
Unas semanas más tarde, Cisco reveló dos nuevos días cero en el Cisco ASA (CVE-2025-20333 y CVE-2025-20362) que fueron explotados en ataques del mundo real para desplegar familias de malware como Reynatiators and Line Vipers.
Los datos de la Fundación Shadowserver muestran que más de 45,000 instancias de Cisco ASA/FTD tienen más de 20,000 personas en los Estados Unidos y aproximadamente 14,000 personas en Europa, lo que las hace susceptibles a dos vulnerabilidades.
Source link
