Una campaña coordinada de piratería basada en credenciales ha estado dirigida a los servicios GlobalProtect de Palo Alto Networks, así como a las VPN SSL de Cisco, en una oleada de ataques a mediados de diciembre. según una publicación de blog del miércoles de GreyNoise.
La actividad de amenaza no implica atacar ninguna vulnerabilidad, sino que utiliza intentos de inicio de sesión automatizados durante dos días.
Según GreyNoise, se observaron más de 1,7 millones de sesiones dirigidas a perfiles GlobalProtect y PAN-OS de Palo Alto Networks durante un período de 16 horas. Se detectaron más de 10.000 IP únicas al intentar iniciar sesión en los portales de GlobalProtect el 11 de diciembre.
Los portales objetivo estaban ubicados principalmente en Estados Unidos, Pakistán y México, dijo GreyNoise. Casi todo el tráfico se originó en el espacio IP asociado con el proveedor de alojamiento 3xK GmbH, lo que indica que la actividad utilizó una infraestructura centralizada alojada en la nube en lugar de usuarios finales ampliamente distribuidos.
Los investigadores observaron un fuerte aumento en los intentos oportunistas de inicio de sesión por fuerza bruta dirigidos a las VPN SSL de Cisco el 12 de diciembre. Las IP de ataque únicas diarias aumentaron de una base regular de aproximadamente 200 a 1273 IP. GreyNoise dijo que gran parte del tráfico llegó a sus sensores Facade independientes del proveedor. Esto indica que los ataques fueron más oportunistas que dirigidos.
Un portavoz de Palo Alto Networks dijo que la empresa estaba al tanto de la actividad de la amenaza y señaló que el proceso implicaba una «investigación automatizada de credenciales» y no comprometía su entorno ni explotaba ninguna vulnerabilidad vinculada a la empresa.
«Nuestra investigación confirma que se trata de intentos programados para identificar credenciales débiles», dijo un portavoz de Palo Alto Networks a Cybersecurity Dive por correo electrónico.
Los ataques a Cisco comparten herramientas e infraestructura vinculadas a los ataques a Palo Alto Networks, según GreyNoise.
Esos mismos investigadores advirtieron el 2 de diciembre sobre una Aumento del tráfico que involucra más de 7.000 IP. dirigido a Palo Alto Networks GlobalProtect. Un aumento similar el 3 de diciembre apuntó a los puntos finales de la API de SonicWall SonicOS.
GreyNoise advirtió previamente sobre la actividad de escaneo durante varios meses dirigida a Palo Alto Networks GlobalProtect, incluido un aumento importante en noviembre.
Un portavoz de Cisco no estuvo disponible de inmediato para hacer comentarios.
Fuente