Palo Alto Networks GlobalProtect VPN giriş portallarını hedef alan kötü amaçlı tarama etkinliği 24 saat içinde 40 kat arttı, bu da koordineli bir kampanyaya işaret ediyor.
Gerçek zamanlı istihbarat şirketi GreyNoise, faaliyetin 14 Kasım'da tırmanmaya başladığını ve bir hafta içinde 90 gün içindeki en yüksek seviyesine ulaştığını bildirdi.
Bültende "GreyNoise, Palo Alto Networks GlobalProtect portallarını hedef alan kötü amaçlı faaliyetlerde önemli bir artış tespit etti" ifadesi yer alıyor.
"14 Kasım 2025'ten itibaren faaliyet hızla yoğunlaştı ve 24 saat içinde 40 kat artışla doruğa ulaşarak 90 günün en yüksek seviyesine ulaştı."
Ekim ayı başında GreyNoise, Palo Alto Networks GlobalProtect ve PAN-OS profillerini tarayan IP adreslerinde %500 artış olduğunu ve bunların %91'inin "şüpheli", %7'sinin ise açıkça kötü amaçlı olarak sınıflandırıldığını bildirdi.
Daha önce, Nisan 2025'te GreyNoise, Palo Alto Networks GlobalProtect giriş portallarını hedef alan, çoğu şüpheli ve 154'ü kötü amaçlı olarak sınıflandırılan 24.000 IP adresini içeren tarama faaliyetlerinde yeni bir artış olduğunu bildirmişti.
GreyNoise, yinelenen TCP/JA4t parmak izlerine, aynı ASN'lerin (Otonom Sistem Numaraları) yeniden kullanımına ve kampanyalar arasındaki etkinlik artışlarının uyumlu zamanlamasına dayanarak en son etkinliğin önceki ilgili kampanyalarla bağlantılı olduğuna büyük bir güvenle inanıyor.
Bu saldırılarda kullanılan birincil ASN, AS200373 (3xK Tech GmbH) olarak tanımlanıyor ve IP'lerin %62'si Almanya'ya ve %15'i Kanada'ya konumlanıyor. Bu aktiviteye dahil olan ikinci bir ASN, AS208885'tir (Noyobzoda Faridduni Saidilhom).
14 ve 19 Kasım tarihleri arasında GreyNoise, Palo Alto PAN-OS ve GlobalProtect'te */global-protect/login.esp URI'sine ulaşan 2,3 milyon oturumu gözlemledi.
URI, GlobalProtect çalıştıran Palo Alto Networks güvenlik duvarı tarafından açığa çıkarılan bir web uç noktasına karşılık gelir ve VPN kullanıcılarının kimlik doğrulaması yapabileceği bir sayfayı gösterir.
Giriş denemeleri esas olarak Amerika Birleşik Devletleri, Meksika ve Pakistan'ı hedef alıyor ve hepsinde benzer hacimler görülüyor.
GreyNoise daha önce bu girişimleri engellemenin ve onları uzun yamalı kusurları hedef alan başarısız istismar girişimleri olarak göz ardı etmek yerine, kötü niyetli araştırmalar olarak aktif bir şekilde izlemenin öneminin altını çizmişti.
Şirketin istatistiklerinin de gösterdiği gibi, bu tarama artışları genellikle vakaların %80'inde yeni güvenlik kusurlarının açığa çıkmasından önce ortaya çıkıyor ve Palo Alto Networks ürünleri için korelasyon daha da güçlü.
Bu yıl Palo Alto Networks'e yönelik kötü amaçlı faaliyetlerle ilgili olarak, Şubat ayında kusurlardan aktif olarak yararlanılan iki vaka yaşandı: CVE-2025-0108, daha sonra CVE-2025-0111 ve CVE-2024-9474 ile zincirlendi.
Eylül ayında Palo Alto Networks, ShinyHunters'ın Salesloft Drift kampanyasının bir parçası olarak müşteri verilerini ve destek vakalarını açığa çıkaran bir veri ihlalini de açıkladı.
Palo Alto Networks, BleepingComputer'a yaptığı açıklamada, GreyNoise'un bildirdiği tarama etkinliğini araştırdığını ve "bir uzlaşmaya dair hiçbir kanıt bulamadığını" söyledi.
Şirket, "Palo Alto Networks, altyapımızın güvende kalmasını sağlamak için günde 1,5 milyon yeni saldırıyı durduran ve 36 milyar güvenlik olayını otonom bir şekilde en kritik tehditlere indirgeyen kendi Cortex XSIAM platformumuz tarafından korunuyor" dedi.
Güncelleme [21 Kasım]: Makale, Palo Alto Networks'ün açıklamasıyla güncellendi.
MCP (Model Bağlam Protokolü), LLM'leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.
Palo Alto Networks giriş portallarını hedef alan taramalarda büyük artış
ImunifyAV'daki RCE kusuru, Linux tarafından barındırılan milyonlarca siteyi riske atıyor
2.000'den fazla Palo Alto güvenlik duvarı yakın zamanda yamalanan hatalar kullanılarak hacklendi
Çok ülkeli devasa botnet, ABD'deki RDP hizmetlerini hedef alıyor
Kaynak: Bleeping Computer