Expertos en ciberseguridad están preocupados por el drástico aumento de intentos de escaneo de inicios de sesión sospechosos dirigidos a las puertas de enlace PAN-OS GlobalProtect de Palo Alto Networks. Se han registrado casi 24 000 direcciones IP distintas intentando acceder a estos portales.

Según la empresa de inteligencia de amenazas GreyNoise, este patrón indica un intento coordinado de evaluar las defensas de la red y detectar sistemas vulnerables, posiblemente como preludio a una explotación dirigida.

Según se informa, el aumento repentino comenzó el 17 de marzo de 2025, con un pico de actividad diaria de alrededor de 20 000 direcciones IP únicas, antes de disminuir el 26 de marzo. En su punto máximo, se estima que 23 958 direcciones IP únicas estuvieron involucradas. Sin embargo, solo 154 de estas direcciones se han identificado explícitamente como maliciosas.

La mayor parte de este tráfico se originó en Estados Unidos y Canadá, seguidos de Finlandia, Países Bajos y Rusia. Mientras tanto, los principales objetivos han sido sistemas en Estados Unidos, Reino Unido, Irlanda, Rusia y Singapur.

La causa exacta de este pico sigue siendo incierta, pero la actividad sugiere un esfuerzo metódico para probar las defensas de la red, sentando potencialmente las bases para una futura explotación.

Bob Rudis, vicepresidente de Ciencia de Datos de GreyNoise, señaló que, durante los últimos 18 a 24 meses, se ha observado una tendencia recurrente de atacantes que explotan deliberadamente vulnerabilidades antiguas o utilizan técnicas de ataque y reconocimiento conocidas en tecnologías específicas. « Estos patrones
suelen coincidir con la divulgación de nuevas vulnerabilidades en un plazo de dos a cuatro semanas», añadió.

Dada la actividad inusual, las organizaciones con instancias de Palo Alto Networks con acceso a Internet deben tomar medidas inmediatas para proteger sus portales de inicio de sesión.

Hacker News se ha puesto en contacto con Palo Alto Networks para obtener más comentarios y se proporcionarán actualizaciones a medida que estén disponibles.

Fuente:https://thehackernews.com/

You May Also Like

Google comparte una “solución” para los archivos eliminados de Google Drive

wpadmin001

piratas informáticos se hacen pasar por periodistas y organizaciones de medios para implementar malware

wpadmin001

CoffeeLoader emplea un empaquetador Armoury que utiliza la GPU para eludir la detección de sistemas EDR y antivirus.

HKN FEED