Hackers estão conduzindo uma campanha coordenada para identificar portais vulneráveis do Palo Alto Networks GlobalProtect, um serviço de acesso remoto seguro amplamente utilizado. De acordo com a empresa de inteligência de ameaças GreyNoise, mais de 24.000 endereços IP únicos foram observados tentando acessar esses portais no último mês. Esse padrão de comportamento sugere que agentes maliciosos estão mapeando potenciais alvos antes de realizar explorações direcionadas.
Leia também
Trump transfere ônus da resiliência para Estados
Pacotes npm criam backdoors persistentes
A atividade maliciosa aumentou significativamente a partir de 17 de março, atingindo um pico com quase 20.000 IPs únicos realizando varreduras diárias até 26 de março. Do total identificado, cerca de 23.000 IPs foram classificados como suspeitos, enquanto um pequeno subconjunto de 150 IPs já é conhecido por envolvimento em atividades maliciosas. Esse tipo de varredura costuma ser um indicativo de tentativas futuras de ataque, especialmente contra organizações que não atualizaram seus sistemas de segurança.
A origem dos ataques está concentrada principalmente nos Estados Unidos, com mais de 16.000 IPs associados a essa atividade maliciosa, seguidos pelo Canadá, que registrou mais de 5.800 IPs suspeitos. A GreyNoise também identificou que mais de 20.000 desses IPs pertencem à empresa 3xK Tech GmbH, enquanto o restante está vinculado a provedores como Fast Servers Pty Ltd., Oy Crea Nova Hosting Solution Ltd. e PureVoltage Hosting Inc. Além dos portais GlobalProtect, outras soluções baseadas no PAN-OS, incluindo o PAN-OS Crawler, também foram alvo de varreduras.
A GreyNoise destaca que ataques como esse seguem um padrão já observado em outros incidentes de segurança nos últimos anos. Em abril do ano passado, agentes de ameaças realizaram varreduras semelhantes em appliances da Cisco, servidores Microsoft Exchange e dispositivos de outros fornecedores, pouco antes da descoberta de novas vulnerabilidades nesses sistemas. Essa estratégia permite que os invasores testem a segurança das redes e identifiquem alvos fáceis antes de lançar ataques efetivos.
Diante desse cenário, empresas que utilizam soluções da Palo Alto Networks devem agir imediatamente para revisar seus logs desde março e verificar quaisquer sinais de comprometimento. Medidas preventivas incluem a aplicação de atualizações de segurança mais recentes, a revisão de políticas de acesso remoto e a implementação de monitoramento contínuo para detectar tentativas de exploração. A recomendação da GreyNoise é que as organizações intensifiquem suas defesas, pois novas vulnerabilidades podem ser exploradas em breve.
