大規模掃描鎖定Palo Alto Networks及思科SSL VPN閘道而來，駭客從事密碼潑灑活動

鎖定Palo Alto Networks旗下的SSL VPN平臺GlobalProtect的大規模掃描活動，一個月內已出現兩起，現在又有另一波新活動引起注意。

威脅情報公司GreyNoise發出警告，他們在12月中旬偵測到為期兩天的自動化帳密掃描活動，駭客先後鎖定Palo Alto Networks與思科的SSL VPN身分驗證基礎設施，大規模利用指令碼嘗試登入。他們在11日看到專門針對GlobalProtect入口網站的自動登入嘗試，在16小時產生約170萬的連線（Session），主要針對美國、巴基斯坦，以及墨西哥。這些攻擊來自10,335個IP位址，流量幾乎都來自德國主機代管業者3xK GmbH。GreyNoise提及，有別於許多攻擊行動透過分散的端點，這次都集中透過雲端代管基礎設施來進行。我們也透過公關窗口向Palo Alto Networks進一步詢問，該公司表示已得知GreyNoise的調查結果，強調這波攻擊是針對弱密碼的自動化嘗試登入，不構成利用GlobalProtect漏洞，或是相關環境被入侵的情況，呼籲用戶遵循最佳實務，採用強密碼及多因素驗證（MFA）。

而對於駭客採取自動化攻擊的依據，GreyNoise歸納出多個跡象，首先，所有的嘗試登入都採用制式的請求特徵，並重覆使用常見的使用者名稱與密碼組合，而且，大部分使用者代理字串（User Agent String）都含有相同、以Firefox為基礎的瀏覽器名稱。由於使用者代理字串、請求的結構，以及時間的一致性，代表攻擊者企圖利用指令碼進行探測，找出防護較弱的GlobalProtect入口網站，而非進行互動式存取，或是漏洞利用行為。

該公司也提及使用者代理字串的不尋常之處，在3xK GmbH環境當中，利用這種型態的進行自動登入，並非常見的行為，而這也是他們認定非正常登入行為的另一依據。值得留意的是，隔天出現駭客嘗試對思科SSL VPN端點試圖暴力破解的情況，攻擊來源的IP位址爆增，從先前不到200個，增加為1,273個。兩起事件的TCP流量指紋相同，而且都來自3xK GmbH，因此很可能是同一組人馬所為。

針對思科SSL VPN系統的大規模登入行為，是以憑證為基礎的自動化身分驗證嘗試，遵循標準的SSL VPN登入流程，包含使用CSRF權杖（Token）、透過參數填寫使用者名稱與密碼，這樣的現象，與指令碼型式的密碼潑灑或是帳號填充行為一致。

鎖定GlobalProtect的大規模嘗試登入活動，近一個月已有兩起，11月14日出現掃描行為急劇增加的情況，一天內爆增40倍，並在5天內出現230萬次針對GlobalProtect登入網頁的URI連線；12月2日出現新一波攻擊，攻擊者透過超過7千個來自3xK GmbH的IP位址，隔天駭客轉向SonicWall防火牆設備，針對防火牆作業系統SonicOS的API進行大規模掃描。