Kampanye otomatis menargetkan beberapa platform VPN, dengan serangan berbasis kredensial yang diamati pada Palo Alto Networks GlobalProtect dan Cisco SSL VPN.
Pada tanggal 11 Desember, platform pemantauan ancaman GreyNoise mengamati jumlah upaya login yang ditujukan ke portal GlobalProtect mencapai puncaknya sebesar 1,7 juta dalam jangka waktu 16 jam.
Data yang dikumpulkan menunjukkan bahwa serangan tersebut berasal dari lebih dari 10.000 alamat IP unik dan ditujukan pada infrastruktur yang berlokasi di Amerika Serikat, Meksiko, dan Pakistan.
Lalu lintas berbahaya hampir seluruhnya berasal dari ruang IP 3xK GmbH (Jerman), yang menunjukkan infrastruktur cloud terpusat.
Berdasarkan pengamatan para peneliti, pelaku ancaman menggunakan kembali kombinasi nama pengguna dan kata sandi yang umum, dan sebagian besar permintaan berasal dari agen pengguna Firefox yang tidak biasa untuk aktivitas masuk otomatis melalui penyedia ini.
“Konsistensi agen pengguna, struktur permintaan, dan waktu menunjukkan pemeriksaan kredensial yang dirancang untuk mengidentifikasi portal GlobalProtect yang terekspos atau dilindungi dengan lemah, dibandingkan upaya akses interaktif atau eksploitasi kerentanan,” GreyNoise menjelaskan.
“Aktivitas ini mencerminkan tekanan berkelanjutan terhadap titik akhir autentikasi VPN perusahaan, sebuah pola yang telah diamati berulang kali oleh GreyNoise selama periode aktivitas penyerang meningkat.”
Sumber: GreyNoise
Pada tanggal 12 Desember, aktivitas yang berasal dari penyedia hosting yang sama menggunakan sidik jari TCP yang sama mulai menyelidiki titik akhir Cisco SSL VPN.
Pemantau GreyNoise mencatat lonjakan IP serangan unik menjadi 1.273, dari garis dasar normal kurang dari 200.
Aktivitas ini merupakan penggunaan IP yang dihosting 3xK dalam skala besar pertama terhadap Cisco SSL VPN dalam 12 minggu terakhir.
Dalam kasus ini juga, payload login mengikuti alur autentikasi SSL VPN normal, termasuk penanganan CSRF, yang menunjukkan serangan kredensial otomatis, bukan eksploitasi.
Sumber: GreyNoise
Kemarin, Cisco memperingatkan pelanggan tentang kerentanan zero-day dengan tingkat keparahan maksimum (CVE-2025-20393) di Cisco AsyncOS yang dieksploitasi secara aktif dalam serangan menargetkan peralatan Secure Email Gateway (SEG) dan Secure Email and Web Manager (SEWM).
Namun, GreyNoise menggarisbawahi bahwa pihaknya tidak menemukan bukti yang menghubungkan aktivitas yang diamati dengan CVE-2025-20393.
Juru bicara Palo Alto Networks mengonfirmasi kepada BleepingComputer bahwa mereka mengetahui aktivitas tersebut. Perusahaan merekomendasikan pengguna untuk menggunakan kata sandi yang kuat dan perlindungan otentikasi multi-faktor.
“Kami mengetahui aktivitas berbasis kredensial yang dilaporkan oleh GreyNoise yang menyasar gateway VPN, termasuk portal GlobalProtect. Aktivitas ini mencerminkan pemeriksaan kredensial otomatis dan bukan merupakan kompromi terhadap lingkungan kita atau eksploitasi kerentanan Jaringan Palo Alto,” kata juru bicara Palo Alto Networks.
“Investigasi kami mengonfirmasi bahwa ini adalah upaya yang direncanakan untuk mengidentifikasi kredensial yang lemah,” tambah mereka.
Terlepas dari tindakan yang direkomendasikan Palo Alto Networks, Gray Noise juga menyarankan administrator untuk mengaudit peralatan jaringan, mencari upaya login yang tidak terduga, dan memblokir IP berbahaya yang diketahui melakukan penyelidikan ini.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
