大規模掃描鎖定Palo Alto Networks旗下SSL VPN平臺而來，5天出現230萬次活動

近年來SSL VPN系統成為駭客入侵企業組織的主要管道，因此，若是出現鎖定這類系統執行大規模掃描的情況，可能代表歹徒正在尋找下手目標，企業組織應特別留意並嚴加防範。

資安業者GreyNoise近日提出警告，Palo Alto Networks旗下的SSL VPN平臺GlobalProtect疑似遭鎖定，自11月14日出現掃描活動急劇增加的情況，在一天內爆增40倍，創下近3個月的新高，他們在14至19日，偵測到230萬次針對GlobalProtect登入網頁的URI連線。這些攻擊流量有62%來自德國，另有15%來自加拿大，攻擊範圍涵蓋美國、墨西哥，以及巴基斯坦。

值得留意的是，GreyNoise根據攻擊者的特徵（指紋）、基礎設施，以及時間相關性等證據，指出先前發動相關攻擊的駭客組織，似乎也參與這次的大規模掃描活動。

針對這樣的情況，我們也透過公關公司詢問Palo Alto Networks，該公司今天表示，確保客戶安全始終是首要任務。此次通報的掃描行為，不構成對該公司環境的威脅或入侵。由此看來，Palo Alto Networks並未否認GreyNoise發現大規模掃描的活動，代表IT人員仍要提高警覺，嚴加防範攻擊者試圖尋找下手目標的現象。

回顧過去，今年已出現兩波針對GlobalProtect大規模掃描的活動，最近一次出現在10月上旬，攻擊者鎖定PAN-OS已知漏洞CVE-2024-3400（CVSS風險評分為10分），兩天內活動增加近5倍；另一起發生在半年前，當時GreyNoise在一個月內，看到近2.4萬個來源IP位址試圖存取GlobalProtect。