Palo Alto Networks旗下SSL VPN的入口網站出現新一波大規模掃描

上個月傳出有人鎖定Palo Alto Networks旗下的SSL VPN平臺GlobalProtect，一天內攻擊流量爆增40倍，5天內偵測到超過230萬次存取GlobalProtect的活動，半個月後類似的活動再度出現，資安業者上週已發布警告。

12月2日威脅情報業者GreyNoise發現新一波攻擊，攻擊者透過超過7千個IP位址，嘗試登入GlobalProtect，這些攻擊都來自一家德國公司3xK GmbH經營的基礎設施，而相關的攻擊並非首度出現，因為GreyNoise比對3個來源用戶端的身分特徵（fingerprint）後發現，這些用戶端曾在9月下旬至10月中旬，用於其他攻擊行動，當時GreyNoise發現，攻擊者使用的自治系統編號（ASN），過往未曾與惡意基礎設施出現關連。對此，我們也詢問Palo Alto Networks，不過在截稿之前並未收到回應。

不過事隔一天，相關的威脅態勢出現變化，攻擊者轉向SonicWall防火牆設備，針對防火牆作業系統SonicOS的API，進行大規模掃描。GreyNoise提到，雖然基礎設施似乎出現變化，被針對設備廠牌也不同，然而他們看到的攻擊來源用戶端，卻完全一致。