Firma de inteligencia de amenazas Greynoise revelado El viernes ha observado un aumento en la actividad de escaneo dirigido a los portales de inicio de sesión de Palo Alto Networks.
La compañía dijo que observó un aumento de casi el 500% en las direcciones IP. exploración Los portales de inicio de sesión de Palo Alto Networks el 3 de octubre de 2025, el nivel más alto registrado en los últimos tres meses. Describió el tráfico como dirigido y estructurado, y dirigido principalmente a los portales de inicio de sesión de Palo Alto.
Hasta 1.300 direcciones IP únicas han participado en el esfuerzo, un salto significativo de alrededor de 200 direcciones IP únicas observadas antes. De estas direcciones IP, el 93% se clasifican como sospechosos y del 7% como maliciosos.
La gran mayoría de las direcciones IP se geolocan a los Estados Unidos, con grupos más pequeños detectados en el Reino Unido, los Países Bajos, Canadá y Rusia.
«Este aumento de Palo Alto comparte características con Cisco ASA Scanning que ocurre en las últimas 48 horas», señaló Greynoise. «En ambos casos, los escáneres exhibieron una superposición regional de agrupación y huellas dactilares en las herramientas utilizadas».
«Tanto el tráfico de escaneo de inicio de sesión de Cisco ASA y Palo Alto en las últimas 48 horas comparten una huella digital TLS dominante vinculada a la infraestructura en los Países Bajos».
En abril de 2025, Greynoise reportado Una actividad de escaneo de inicio de sesión sospechosa similar dirigida a PAYLO ALTO PAN-OS GlobalProtect Gateways, lo que lleva a la compañía de seguridad de la red a instar a los clientes a asegurarse de que estén ejecutando las últimas versiones del software.
El desarrollo se produce como grises anotado En sus primeras señales de advertencia, informan en julio de 2025 que aumenta el escaneo malicioso, el forzamiento bruto o los intentos de exploit a menudo son seguidos por la divulgación de una nueva CVE que afecta la misma tecnología dentro de las seis semanas.
A principios de septiembre, Greynoise prevenido Acerca de escaneos sospechosos que ocurrieron a fines de agosto, dirigido a dispositivos de dispositivos de seguridad adaptativos de Cisco (ASA). La primera ola se originó en más de 25,100 direcciones IP, principalmente ubicadas en Brasil, Argentina y Estados Unidos.
Semanas después, Cisco revelado Dos nuevos días cero en Cisco ASA (CVE-2025-20333 y CVE-2025-20362) que habían sido explotados en ataques del mundo real para desplegar familias de malware como Rayiniciador y víbora de línea.
Datos de la Fundación Shadowserver espectáculos Que más de 45,000 instancias de Cisco ASA/FTD, de las cuales se encuentran más de 20,000 en los EE. UU. Y aproximadamente 14,000 en Europa, todavía son susceptibles a las dos vulnerabilidades.
Fuente