Networking

Portal VPN GlobalProtect diperiksa dengan 2,3 juta sesi pemindaian

61
portal-vpn-globalprotect-diperiksa-dengan-2,3-juta-sesi-pemindaian
Portal VPN GlobalProtect diperiksa dengan 2,3 juta sesi pemindaian

Aktivitas pemindaian berbahaya yang menargetkan portal login VPN GlobalProtect Palo Alto Networks telah meningkat 40 kali lipat dalam 24 jam, yang menunjukkan kampanye yang terkoordinasi.

Perusahaan intelijen real-time GreyNoise melaporkan bahwa aktivitas mulai meningkat pada 14 November dan mencapai level tertinggi dalam 90 hari dalam seminggu.

“GreyNoise telah mengidentifikasi peningkatan signifikan dalam aktivitas jahat yang menargetkan portal GlobalProtect Palo Alto Networks,” membaca buletin.

“Dimulai pada 14 November 2025, aktivitas meningkat pesat, berpuncak pada lonjakan 40x dalam waktu 24 jam, menandai rekor tertinggi baru dalam 90 hari.”

Aktivitas pemindaian melonjak di portal PAN Global Protect
sumber: GreyNoise

Pada awal Oktober, GreyNoise melaporkan a peningkatan 500%. dalam alamat IP yang memindai profil GlobalProtect dan PAN-OS Palo Alto Networks, dengan 91% di antaranya diklasifikasikan sebagai “mencurigakan”, dan 7% lainnya jelas-jelas berbahaya.

Sebelumnya, pada bulan April 2025, GreyNoise melaporkan lonjakan lain dalam aktivitas pemindaian yang menargetkan portal masuk GlobalProtect Palo Alto Networks, yang melibatkan 24.000 alamat IPsebagian besar diklasifikasikan sebagai mencurigakan, dan 154 berbahaya.

GreyNoise yakin dengan keyakinan tinggi bahwa aktivitas terbaru terkait dengan kampanye terkait sebelumnya, berdasarkan sidik jari TCP/JA4t yang berulang, penggunaan kembali ASN (Nomor Sistem Otonomi) yang sama, dan penyelarasan waktu lonjakan aktivitas di seluruh kampanye.

ASN utama yang digunakan dalam serangan ini diidentifikasi sebagai AS200373 (3xK Tech GmbH), dengan 62% IP ditempatkan secara geolokasi di Jerman, dan 15% di Kanada. ASN kedua yang terlibat dalam kegiatan ini adalah AS208885 (Noyobzoda Faridduni Saidilhom).

Menargetkan login VPN

Antara tanggal 14 dan 19 November, GreyNoise mengamati 2,3 juta sesi yang berhasil */global-protect/login.esp URI di Palo Alto PAN-OS dan GlobalProtect.

URI tersebut sesuai dengan titik akhir web yang diekspos oleh firewall Palo Alto Networks yang menjalankan GlobalProtect dan menampilkan halaman tempat pengguna VPN dapat mengautentikasi.

Upaya login terutama ditujukan ke Amerika Serikat, Meksiko, dan Pakistan, dengan volume serupa di seluruh negara tersebut.

GreyNoise punya sebelumnya digarisbawahi pentingnya memblokir upaya-upaya ini dan secara aktif melacaknya sebagai penyelidikan yang berbahaya, alih-alih mengabaikannya sebagai upaya eksploitasi yang gagal yang menargetkan kelemahan yang telah lama ditambal.

Statistik perusahaan menunjukkan bahwa lonjakan pemindaian ini biasanya mendahului pengungkapan kelemahan keamanan baru pada 80% kasus, dengan korelasi yang lebih kuat lagi pada produk Palo Alto Networks.

Mengenai aktivitas jahat pada Palo Alto Networks tahun ini, ada dua kasus eksploitasi aktif terhadap kelemahan pada bulan Februari, dengan CVE-2025-0108yang kemudian dirantai dengan CVE-2025-0111 dan CVE-2024-9474.

Pada bulan September, Palo Alto Networks juga mengungkapkan a pelanggaran data yang mengungkap data pelanggan dan kasus dukungan, sebagai bagian dari kampanye Salesloft Drift ShinyHunters.

7 Praktik Terbaik Keamanan untuk MCP

Karena MCP (Model Context Protocol) menjadi standar untuk menghubungkan LLM ke alat dan data, tim keamanan bergerak cepat untuk menjaga keamanan layanan baru ini.

Lembar contekan gratis ini menguraikan 7 praktik terbaik yang dapat Anda mulai gunakan hari ini.

Exit mobile version