Palo Alto Networks Warns of Brute-Force Attempts Targeting PAN-OS GlobalProtect Gateways
2025/04/11 TheHackerNews — Palo Alto Networks が明らかにしたのは、PAN-OS GlobalProtect ゲートウェイに対する、ブルートフォース攻撃によるログイン試行を観測したという情報である。先日に警告されたのは、同社のアプライアンスを狙う脅威アクターたちの、不審なログイン・スキャン活動の急増だったが、それから数日後に、新たな悪意のアクティビティが観測されている。
Palo Alto の広報担当者は、「当社のチームは、ブルートフォース攻撃によるログイン試行などの、パスワードに関連する攻撃と一致するアクティビティの証拠を観測しているが、それは脆弱性の悪用を示すものではない。引き続き、この状況を積極的に監視し、報告された活動を分析することで、潜在的な影響を判断し、対策の必要性を判断している」と、The Hacker News に述べている。
前述のとおり、PAN-OS GlobalProtect ポータルを標的とする、不審なログイン・スキャン活動の急増を、脅威インテリジェンス企業 GreyNoise が警告していたが、それを受けるかたちで、今回の発表があった。
Palo Alto が指摘するのは、この活動が 2025年3月17日に始まり、ユニークな IP アドレスが 23,958件に達した後の、月末にかけて減少したという状況である。このパターンが示唆するのは、ネットワーク防御を調査し、無防備なシステムや脆弱なシステムを特定するための、組織的な取り組みである。
ログイン・スキャン活動の対象としては、主に米国/英国/アイルランド/ロシア/シンガポールなどのシステムが標的にされている。
現時点では、これらの活動の範囲や、それを操る脅威アクターの特定には至っていない。Hacker News は、Palo Alto Networks にコメントを求めており、回答が得られ次第、この記事を更新する予定だ。
当面の間において、すべての PAN-OS ユーザーに推奨されるのは、最新バージョンを実行していることの確認である。その他の緩和策として挙げられるのは、多要素認証 (MFA) の適用/MFA 通知を容易にするための GlobalProtect の設定/ブルートフォース攻撃を検出と阻止のためのセキュリティ・ポリシーの設定/インターネットへの不要な露出の制限などである。
2025/04/01 の「Palo Alto PAN-OS に対する大規模な偵察行動:24,000+ の IP からのアクセス試行を観測」の続報です。Palo Alto から、攻撃の現状と緩和策が発表されました。現時点では、攻撃の規模や関与している脅威アクターの特定には至っていないとのことです。今後の動向が気がかりですね。PAN-OS GlobalProtect をご利用のチームは、文中の緩和策の実施をご検討ください。よろしければ、Brute Force で検索/Palo Alto で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.